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Projeto faz Linux rodar drivers de Windows 


Atualmente, em termos de aplicações comuns, como os softwares de escritório, não 
há motivos para evitar a migração do Windows para o Linux. Com efeito, são 
inúmeros os softwares como os do pacote OpenOffice, além de clientes de e-mail, 
browsers, etc. que não fazem feio frente às suas versões proprietárias. E mais: 
normalmente, esses softwares também têm suas versões para Win. 

Bom, disso você sabe. E qual a novidade desta nota? É que o desenvolvimento do software de código 
aberto está tão avançado que agora o pessoal quer que os drivers de dispositivos comecem a dialogar entre os 
mas operacionais. 

Subvertendo a tradição de que um driver só pode ser escrito exclusivamente para a plataforma a que se destina, a empresa canadense 


Linuxant acaba de criar o DriverLoader, que, grosso modo, nada mais é do que um tipo de emulador que possibilita ao Linux carregar e 
reconhecer drivers escritos para Windows. 


o VD 


Até o fechamento desta edição, os pacotes do DriverLoader estavam disponíveis para download gratuito por meio de uma licença trial. 
Trial? Sim, ainda não há certeza de que o DriverLoader permanecerá sempre livre para os usuários finais. 

De qualquer forma, vale a pena conferir, ao menos enquanto não há confirmação disso. O DriveLoader é compatível com os kernels 2.4 e 
2.6, tem enfoque em drivers para LANs e, no momento, oferece um “demo” que permite usar, no Linux, dispositivos wireless 802.11 g 
(CardBus e PCI) baseados em chipsets Broadcom, cujos drivers são escritos para Win32. 


Site: wwyw.linuxant compstore 
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Linux vira pré-requisito para 
utilização de serviço gover- 
namental 


Por essa as desenvolvedoras de softwares 
proprietários não esperavam. O software livre 
deverá tornaf-se obrigatório para a instala- 


ção de banda larga no novo serviço público 


recursos do FUS 


comunicações). 


A informação foi dada pelo ministro das 


Comunicaçõe Teixeira, que, no 


s, Miro 
entanto, também disse que haverá um 
periodo de transição, no qual será permitida a 
convivência entre softwares livres e proprie- 
tários, como Linux e Windows. O novoserviço 
de telecomunicações para acesso à Web em 


banda larga deve entrar em consulta pública 


em novembro de 2003 (após a data de 
fechamento desta edição) 


Ele foja solução encontrada pelo governo 


Lula, Anatel e Tribunal de Contas da União 
para estimular a concorrência nas licitações 
que poderão usar o FUST, cujo saldo já 


ultrapassa R$ 2 bilhões, Isso porque a lei exige 


que o dinheiro do fundo só possa ser gasto 


com a contratação de uma concessionária de 


serviço público 
Jesenvolvendo a nova ferramenta, empresas 
de telefonia, operadoras de TV a cabo e 


outras companhias poderão participar das 
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Cuidado com o pingúim 


Os novatos que se cuidem. Distribuições popula- dei 
res andam chegando com bugs para assustar de É 
vez qualquer newbie. A versão 9.2 do Mandrake, | e E 


por exemplo, se revelou uma bomba para 
diversos modelos de drives LG. 

O problema estaria no firmware do drive, que se deixa sobrescrever por um 
arquivo de sistema do Mandrake. Mas, obviamente, como o SO foi desenvolvido 
posteriormente, é a sua programação que contém a falha, por não prever esse 
comportamento por parte do firmware. 

O problema ocorre durante a instalação, seja via CD-ROM ou por uma rede. A 
mensagem “unable to install the base system” surge na tela e, após o computa- 
dorser reinicializado, o drive de CD simplesmente deixa de funcionar. 


“Para saber mais detalhes e consertar a falha, vá ao site 


www.mandrakelinux.com/en/Agerrata.php3 
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FPP SOFLUAare never Dies! 
Projeto GNU completa 20 anos de vida 


Muito se fala e se estuda sobre o sistema operacinal open source “Linux”, 
independente de sua superioridade e qualidade o sistema tornou-se conhecido 
em todo mundo simplesmente por ter profissionais totalmente capacitados por 
trás levando o projeto a serio. Com toda clareza, podemos dizer que hoje em dia 
o Linux é uma ameça ao reinado da Microsoft, principalmente em PCS home 
users. O fato que poucos sabem é que o Linux não é somente um sistema 
operacional criado por Linus Torvalds, ou por uma empresa sem fins lucrativos, 


por trás de Torvalds e do Linux existe o projeto “GNU” ou “GNU/Linux”, como 
queiram denominar. 

Em 27 de setembro de 1983, Richard Stallman, então pesquisador do laborató- 
rio de inteligência artificial do MIT, enviou uma mensagem para a rede UseNet 
com a frase “Libertemo Unix!”. Com isso, ele deu o pontapé inicial do projeto 
GNU, como propósito de criar um sistema operacional similar ao Unix, mas com 
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ROOGCHECcH UO.3 
Nova versão do programa que detecta rootkits 


Rootcheck é um programa que tem a função de detectar rootkits em sistemas. A partir 

* do momento em que uma máquina está conectada à rede, a primeira está exposta a 

| ataques dos mais variados tipos nos mais diversos serviços “daemons”, sendo que, na 

maioria das vezes, o ataque é efetuado com sucesso. E por mais que o sistema atacado 
seja seguro, a cada dia surgem novos bugs que podem colocar todo um trabalho e 
reputação a perder. 
Por esse motivo, a utilização de um IDS, ou, no caso mais específico, de um Rootkit, é 
essencial, pois quando o ataque do'HACKER é executado 
sucesso, ele vai querer ter acesso novamente à 
máquina, instalando um conjunto de ferramentas 
que garanta seu acesso “invisível” no futuro, no 
caso um rootkit. 
O Rootcheck detecta os principais rootkits, como o 
suckit, adore, etc. Para mais informações, consulte o 
site: 


http://www .honeypot.com.br/tools.htm 


A ameaça dos DIMA 


O que poderão fazer os vírus do futuro 
- Ocultar-se até que muitas máquinas já 
estejam infectadas 

- Apagar seus rastros com eficiência 

- Infectar plataformas múltiplas 

- Fazer o download de cavalos de Tróia, 
spyware e outros códigos maliciosos de 
locais remotos, até mesmo via wireless 

- Mapear a topologia de sistemas 

- Fragmentar códigos, para evitar a 
detecção i 

- Possuir capacida- 

de de latência ou 

incubação 
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SPam E Crime 
Não use seu e-mail como uma arma: a vítima pode ser você 


O Senado dos Estados Unidos aprovou uma lei que torna o spam ilegal. Os spammers, responsá- 
veis por bilhões de mensagens comerciais, pornográficas e hoaxes, podem pegar até prisão e 
pagar multas milionárias. 

Os senadores norte-americanos só agora entenderam algo que os usuários já perceberam há 
tempos: o spam atrapalha a vida de todos e desgasta a credibilidade da comunicação em rede. 
Segundo pesquisa feita pelo instituto Pew Internet, um entre quatro entrevistados afirmou usar 
menos o e-mail por causa da quantidade de spams que recebe. 
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Profiling para 
performance e 
segurança 


Mesmo com o poder de processamento de um simples PC, 
hoje em dia várias vezes superior às máquinas de 10 anos atrás, 
um desenvolvedor experiente se preocupa com a performance 


de seus produtos. 
Esta preocupação é justificada, visto que, em um nível 
mais baixo, muito tempo podeser Rs em rotinas montadas 


de forma errônea. Ou mesmo com alguns ajustes e modifica- 


a) 


“des, uma boa velocidade pode-ser alcançada. 


O assunto é muito extenso e tema para livros dedica- 


dos a aspectos tão distintos quanto banco de dados, progra- 
mação distribuída e outros tantos, mas é possível começar a 


conhecer este campo que, com a estabilização e a definição 


da área de informática , Val COMEÇar a ser cada vez mais 


exigido e necessario 


No co meço, eram os programas simples criad 


resolver um pequeno problema. E pelo menos 


em ambientes Unix, muitos programas “duram” anos.e anos, 


rodando sem problemas por um bom tempo 
Esse foi o tempo da criação e experimentação, em que 


muitos programas eram e criados por pessoas sem experiencia na 


área, que era relativamente nova 
adquiriram habilidades e mudaram seus estilos de resolver 
problemas (ou seja, programar). Alguns se direcionaram para 
outras áreas (portanto seus programas simples que estavam 
rodando por aí ficaram sem pai), e outros se dedicaram ao 
desenvolvimento 

Alguns desses profissionais se atreveram a mexer no 
gue já funcionava para tentar melhorar, ou 


recursos de memória, velocidade, máquina, ou para 
implementar outro modo de resolver o mesmo problema 

Já as grandes corporações, têm seus produtos sendo 
utilizados por um enorme númer 


que pagam pelos programas e exige 


te). Mas após um certo ponto, quando-uma aplica 


doar 


edor criar para 


Onta, Não sobra muito Ê 


mudar o quadro exis 


Nas duas situações cit 


ima área chamad 


pa 
medição de pontos da aplicação ( 


atividades), e para a análise d 


CI pa fr 
Claro que muito de proí 


área de projetos as é uma p 


der a identificar 
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Além do código, a an 


de analisar programas mais comple 


% 
rramenta bem simples de profiling pr 


o comando time: 


0m0.005s 
0m0.000s 
Om0.000s 


O comando time fornece o tempo de execução de 
um binário em três medidas de tempo: real, ou seja, O 
tempo-total utilizado pela aplicação, desde a sua execução 
até o retorno ao'shell, user, que é o tempo de CPU gasto 
pelo processo; e sys, o tempo gasto pelo sistema pata 
ajeitar tudo em kernel mode, ou seja, carregar, mover o 
código e iniciar a execução. Como o programa que testei é 
bem simples (Is), os números são bem baixos. 

Um programa simples para fazer testes e comparar 
alguns métodos de profiling e otimização é o que se segue: 


programa 1 - matrizes.c 


Finclude <stdio.h> 
/* tamanho das matrizes */ 
fFdefine SIZE 500 


/* CS AB */ 
int main ( int argc, char **argv ) ( 


double a [SIZE] [SIZE], b[SIZE] [SIZE], 
Cc [SIZE] [SIZE] ; 
double temp; 


Ene, Yo: EI 


for (x = 0; x < SIZE; x++) 
for (y = 0; y < SIZE; y++) [ 


Z <- SIZE; 
temp += alx] [z]*b[z] [y]; 
c [x] [y] 


Este programa implementa a multiplicação de 
duas matrizes em uma terceira e utiliza bastante 
memória e CPU. Digite e compile com: 


cc matrizes.c -o matrizesl temp=(double)tp.tv sec+(1.e- 


cc matrizes.c -o matrizes2 -03 6)*tp.tv usec; 


return temp; 


int main ( int argc, char **argv ) ( 


Os dois binários resultantes vão representar uma 
situação utilizando o compilador sem nenhuma otimização e double a[SIZE] [SIZE], b[SIZE] [SIZE], 
com otimização média CISIZE] [SIZE] ; 
double temp; 
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O algoritmo utilizado é bem básico, sem otimizaç 
em assembly, como em bibliotecas dedicadas a int x, y, Z; 
processamento 3D, em-que essas funções encontram a 


necessidade de maior velocidade. Ao testarmos os dois double tl; t2,elapsed; 


binários digitando time matrizes 1 e time matrizes?, podemos 


ter uma boa idéia da diferença do emprego de otimizações e for (x = 0; x < SIZE; x++) 
do uso do comando time para medir os tempos de execu- for (y = 0; y < SIZE; 
gão, uma das funções mais rudimentares em profiling temp = 0.0; 
Um outro aplicativo geralmente presente nas tl=mygettime(); 
instalações de Linux com ambiente de desenvolvimento é o for (z = O; z < SIZE; z++) 
gprof. O gprof fornece um relatório detalhado de chamadas alx] [z]*b[z] [y]; 
para funções, tempos de execução e dados. E clxl [yl = temp; 
Para utilizá-lo, deve-se compilar o programa coma 
chave -pg, executar o binário e, em seguida, o gprof com a t2=mygettime() ; 
sintaxe: gprof <binario>. O relatório fornecido dá uma boa elapsed=t2-t1; 
idéia dos trechos e chamadas que estão consumindo mais fprintf (stderr,"”c[%d] [%d] 
tempo no fluxo do programa, - tempo: %f segundosin”, x,y, elapsed) ; 
Outra forma interessante é o código-fonte ) 


implementar timers, até mesmo utilizando a função 
gettimeofday e construindo seu próprio framework de 


profiling para cada chamada de função. Geralmente a 
função é chamada antes e depois de um ponto a ser 


analisado, e o tempo gasto é em microssegundos. 


Compilando com cc gettimeofday.c, -o gettimeofday 
produz-um binário sem otimização. Adicione a chave -03 e, 
para cada uma, use o comando time para testar a 
programa 2 - gettimeofday.c performance e os números exibidos. 

Para ter um exemplo do relatório fornecido pelo 
finclude <stdio.h> gprof, recompile o programa com cc gettimeotday.c-o 
finclude <sys/time.h> gettimeofday -pg, execute o binário gettimeofday e, em 
seguida, execute o comando goprofgettimeofday less. 

/* multiplica matrizes marcando o tempo que cada Acompanhe as informações fornecidas; inclusive o número de 
elemento da matriz final consumiu */ chamadas para a função mygettimel) 
Existem outros pacotes, como o cprof (Atto:// 
/* tamanho das matrizes */ www. cprof.sf.net) e alguns mais caros. 


Muitas vezes, alguns loops estão mal projetados, 


fdefine SIZE 10 contendo cálculos repetitivos ou chamadas a funções pesadas, 

tais como consultas a SQL ou alocação de memória, tornando 

* C=aAB+* se pontos para o aparecimento dos chamados gargalos. Isso é 
| 


muito comum em aplicações web, em que um loop desses 
double mygettime (void) ( pode resultar em um timeout, ou aquelas páginas que demo 
double temp; ram um-século para aparecer. 
struct timeval tp; Para este tipo de problema, os testes de estresse de 
int rtn; aplicação são indispensáveis. Desde programas de benchmark, 


rtn=gettimeofday (&tp, NULL); como no caso citado, específico para webservers e cgi/scripts, 


até pequenos scripts feitos com finalidades específicas. A 
linguagem PERL é excelente para este tipo de construção, pois 
possibilita a criação de ferramentas de forma rápida e simples. 
Geralmente um desenvolvedor cria um script em ASP 


ou PHP para a Web, e testa em rede local (no máximo pede 
para um amigo testar), e quando colocado em ambiente de 
produção, falha miseravelmente, sobrecarrega a máquina e 
acaba com os recursos reservados para os outros processos 


que estavam funcionando. 
Nesses casos, não somente o profiling da aplicação é 

interessante, mas de todo o ambiente. Um erro muito comum, 
q além das queries de SQL dentro de loops enormes, são tabelas 
mal projetadas, sem índices ou com índices incorretos. Nem 
sempre dá para seguir os livros de banco de dados, ainda mais 
em setups mais simples, portanto cabe ao desenvolvedor 
| modelar seu banco de acordo com o que tem à mão. 

Falando em SQL, as queries e stored procedures 
devem ser examinadas também para analisar outras formas 
de realizar a mesma tarefa e evitar aqueles bugs relacionados 
com caracteres especiais, do tipo aspas, apóstrofres e 
caracteres que representam comentários dentro da query. 
Esses bugs são os responsáveis pela maioria das “invasões” a 
servidores, pois abrem uma porta direta ao coração do 
sistema. 

Claro que a filtragem de caracteres especiais deve vir 
do programa, e geralmente não é isso o que acontece, pois a 
checagem dos parâmetros não é realizada. 

Portanto, o profiling de uma aplicação é importante 

! também sob o ponto de vista de segurança. Muitos bugs de 
programação, que no resultado final se apresentam como 
grandes falhas de segurança, têm seu início em códigos mal 
pensados ou avaliados. ' 

Um exemplo clássico são os bugs relacionados a 
format strings, que assolaram e ainda acontecem em muitos 
programas. Como.no caso do desenvolvedor que resolveu u 
problema com um código, mas não voltou mais a trabalhar 
com ele para evoluir. 

Esta classe de bugs é relativamente nova, não que a 
existência seja recente, mas há relativamente pouco tempo 
que começaram a ser explorados. Justamente naqueles 
softwares mais antigos, que estão rodando há muito tempo, po 

sem a preocupação com técnicas de programação que levam '» “A 
em conta práticas de construção de código seguro. Em j 
comparação com os overflows existentes, que já são conheci- 

dos e explorados há muito tempo, esta classe de bugs aparece 
em locais diversos. 

Um dos softwares que mais sofreu com isso foi o wu- 
ftpd, até então vítima de alguns overflows, mas que foi muito 
desacreditado pela quantidade de bugs existentes relaciona- 
dos a format strings. 

Apenas para relembrar, um overflow, seja de buffer, 
ou heap, stack, tem como princípio um código que foi criado e 
não checa os limites de suas variáveis, permitindo assim que 
seja injetado um código malicioso no seu espaço na memória, 
e executado com a permissão do programa rodando. Muitos 
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deles são locais ou remotos, ou seja, podem ser efetivos via 
Internet/Rede local. 


Uma forma de bug desses é o uso de funções sem a 
checagem do tamanho do buffer de destino, tais como strcat, 


E strcoy, sprintf. Para cada buffer do programa, é necessário 


levar em conta seu tamanho, mesmo que em todas as 
situações normais este valor nunca seja superado. São nas 
situações não pensadas que os exploits atuam. 

Um bug de format string aparece em um caso como o 
descrito abaixo, por exemplo: 


E 
a a a 


=Quando o correto seria: 


printf(“$%s”, 


mystring”); 


Este é apenas um pequeno exemplo, mas que 
demonstra a falta de cuidado na criação do código. 
Com isso, pode-se derrubar o processo ou até utilizar 
esta janela para inserir um código a ser executado, 
usado como um buffer overflow. 

As boas práticas de programação são adquiridas 
conforme a experiência, mas utilizar, ou mesmo desen- 
volver seus métodos de profiling, é um dos meios mais 
rápidos de ter resultados positivos neste campo. 

Para um software livre, esses conceitos são mais 
Bimportantes, pois não trabalham com segurança 
baseada em segredos. Seu código-fonte está na 
Internet, sendo testado, abusado e utilizado por muitas 
pessoas e organizações. Por isso temos mais agilidade 
neste campo do que em produtores de software 
fechado. Com o desenvolvimento distribuído e tantos 
interesses, geralmente leva uma questão de horas para 
que uma correção seja postada na Internet. 

Com software fechado, temos situações como a 
da Microsoft e os bugs recentes de RPC/DCOM, em que 
mesmo com os patches fornecidos, a vulnerabilidade 


persiste ou é localizada em outro local. 

O quadro parece simplista, mas não é uma 
defesa de um sistema ou de outro, mas apenas uma 
demonstração de como o profiling feito de maneira 
correta e por indivíduos ou grupos interessados surte 
efeitos às vezes surpreendentes. 


"Negação 


Implementação, Defesas 


Abstract: this paper describes a study about denial of service and 
distributed denial of service, in which are presented aspects related 
to the atacks themselves and their concepts, defenses, 
implementations, their types, functioning and their repercurssions. 
Beyond that, it was done a study about the tools. TEN and TRINOO, 
ones of the most utilized in this area. By this way, itll be shown the 
importance of prevention of these atacks. 

Keywords: denial of service, distributed denial of service, security, 
computer networks. 


Resumo: este artigo descreve um estudo sobre negação de 
serviço e negação de serviço distribuída, no qual são apresentados 
os aspectos relacionados ao ataque de negação de serviço e seus 
conceitos, defesas, implementação, seus tipos, funcionamento e 
suas repercussões. Além disso, é feito um estudo sobre as ferra- 
mentas TFN e TRIOO, duas das mais utilizadas em ataque nessa 
área, Dessa forma, será mostrada a importância da prevenção 
desses ataques. 

Palavras-Chave: negação de serviço, negação de servico 


distribuída, segurança, redes de computadores. 


1. Introdução 


Desde o surgimento da Internet, a segurança da informação tem 
sido um assunto constante. A partir do momento em que cada 
empresa se conecta à rede mundial, seus dados ficam expostos. 
Esse crescimento da quantidade de informações disponíveis, 
naturalmente aumentou o interesse das pessoas com relação à 
segurança de redes. Muitas formas de invasão surgiram e muitas 
maneiras de defesa também foram elaboradas, com a finalidade de 
garantir que os dados da empresa permanecessem em segurança. 
sse estudo mostrará como surgiu a negação de serviço, asim com 
sua definição , seus tipos de ataque, como funciona , além de exibir 
suas implementações (TRIOO e TFN). Também veremos técnicas de 
defesa e explicaremos as repercussões causadas por um ataque de 


negação de serviço em uma empresa. 


2. Negação de Serviço 


2.1 Como Surgiu a Negação de 
Serviço 


Em 1988, houve a primeira detecção de ataque DoS. Em setembro 
de 1996, o Provedor Public Access Network Conporation (PANIX) 
ficou cerca de uma semana'sob o efeito do ataque. Em maio de 
1999, uma série de ataques Dos atingiu as redes do federal 
Bearouí of Investigation (FBI) e de vários outros órgãos governa- 
mentais norte-americanos. 

Segundo [1], no Brasil nenhum site assumiu publicamente ter 
sofrido um ataque DoS, mas existem sinais de que alguns grandes 
portais tenham sido atingidos, 


3. Definição de Negação de 
Serviço 


Segundo a definição de [2], Negação de Serviço (DoS)'é um 
ataque que permite que uma pessoa deixe um sistema 
inutilizável ou consideravelmente lento pára os usuários legítimos 
por meio do consumo de seus recursos, de maneira que ninguém 


consegue utilizá-los. 


4. Definição de Negação de 
Serviço Distribuída 


A Negação de serviço distribuída (DDos) utiliza-se do conceito de 
computação distribuída para efetuar os ataques. O atacante 
invade e se apropria de diversos computadores para executar O 


ataque a partir de diferentes origens simultaneamente. 


de Serviço: 


Toniclay Andrade Nogueira 
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O Dos Local é um ataque de negação de serviço que, para poder A topologia de uma rede DDos é dividida em quatro partes. Os 
ser executado, é necessário estar logado ao sistema. Outro método sistemas comprometidos são divididos em mestres e agentes. Os 
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com dados espúrios. são controlados por um ou mais mestres. A utilização de duas 


camadas (mestres e agentes) entre o atacante e a vítima dificulta o 
6. Ataques Remotos 


Os ataque DoS remoto pode ser executado sem estar logado ao 


rastreamento. 


sistema DoS Remoto Multiprotocolar, que consiste em ataques que 

funcionam independente do sistema operacional, por causa de ATACANTE 
falhas em diversos protocolos ou de força-bruta. Neste'caso, o 10.10.10.1 
atacante envia para a rede um número de pacotes superior ao 

limite que o destino é capaz de absorver. 


MASTER 
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7. Funcionamento de um 


Ataque DDoS 


Os ataques de Negação de Serviço Distribuído (DDoS) podem ser 
classificados pelo nível de automação, pela vulnerabilidade explora- 
da, pela dinâmica e pelo impacto causado. Segundo a 
vulnerabilidade explorada, existem dois tipos de ataques DDosS: os 
ataques aos protocolos e os ataques de força-bruta. 


VITIMA 
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Topologia de uma rede DDos. 


9. A Criação de uma Rede 
DDoS 


Antes de efetuar um ataque DDos, uma rede deve ser montada. 


Computadores devem ser identificados como possíveis vítimas a fim 
“de ganhar acesso administrativo ao maior número de sistemas 
possíveis. Esses computadores devem pertencer a diversas redes ou 
endereços IP. A utilização de uma grande quantidade de endereços 
IP dificulta a identificação e o bloqueio do ataque. 


10. Implementações de 
Negação de Serviço 


10.1. Trin0O0 


O Trin00 utiliza os protocolos TCP .e UDP para se comunicar com o 
servidor, o que torna necessária a utilização de portas e faz com 
que a troca de mensagens seja mais facilmente percebida. Os 
agentes Trin00 podem ser instalados em sistemas Linux e Solaris. 
A utilização do Trin00 pode ser detectada pela observação de 
tráfego UDP tipo 17, que é utilizado para a comunicação entre os 
mestres e os agentes. Os mestres mantêm uma lista dos agentes 
que poderão ser contatados. 

As portas utilizadas pelo Trin00 podem ser usadas para a detecção 
e mesmo para O bloqueio, impedindo que os computadores da rede 
sejam utilizados para os ataques. 

Uma vez executado o agente TrinDO, ele anuncia a sua disponibili- 
dade pelo envio de um pacote UDP contendo a string "*HELLO*“ 
para o endereço IP de seu respectivo mestre: O mestre responde 
com outro pacote UDP, desta vez com a string “PONG”.. 


10.2. Tribe Flood Network 


Esta fol.a primeira ferramenta de ataque DDos disponível publica- 

' mente, O TFN foi escrito por Mixter. Os ataques efetuados pelo TFN 
são: UDP Flooding, TCP SYN Flooding, ICMP Flooding e Smurf. O 
controle dos mestres é feito por linha de comando, e a execução do 
programa deve ser acompanhada dos parâmetros desejados com a 
sintaxe: tfn <iplist> <type> [ip] [port], onde <iplist> é a lista 
dos agentes que podem ser utilizados, <type> é o tipo de ataque 
desejado, /jp/ é o endereço da vítima e fport/é a porta desejada 
para ataques TCP SYN fooding, que pode ser definida como um 
número aleatório (parâmetro 0). 

O TFN é bastante “discreto”. A comunicação entre os mestres e os 
agentes é feita por mensagens ICMP tipo. 0, o que torna difícilo 
monitoramento dessas comunicações, pois muitas ferramentas de 
monitoramento não analisam o campo de dados de mensagens ICMP. 


11. Como Se Defender da 
Negação de Serviço 


Em razão da arquitetura e força do DoS/DDos, não existe uma 
maneira totalmente eficaz de evitar o ataque. Uma solução ideal 
seria que todos os computadores fossem configurados e protegidos 
de maneira a não serem utilizados para a formação da rede DDos. 
Apesar de não haver uma solução definitiva contra ataques DDos, 
existem várias maneiras de minimizá-los, como um plano de 
contingência que é a melhor solução contra ataques do tipo força- 
bruta, que consomem todos os recursos da rede por terem origem 
em redes mais numerosas ou com mais recursos. Trata-se de Uma 
política de segurança para garantir que todos seus usuários 
legítimos não sejam eventuais colaboradores de possíveis ataques. 
Para evitar que senhas possam ser facilmente descobertas, é 
fundamental que elas tenham um tamanho mínimo adequado, e 
sejam trocadas com freguência. O acesso físico deve garantir que 
o sistema apenas seja alcançado pelos seus administradores 
autorizados. Além disso, as atualizações dos sistemas devem ser 
constantes. Quanto à detecção e prevenção de vírus, é necessário 
possuir programas antivírus instalados e atualizados e as portas de 
comunicação devem ser só aquelas que realmente precisar. Em 
relação à largura de banda, deve ser estipulado um limite por 
serviço. Deve haver a desativação da difusão para poder impedir 
que a rede seja usada como amplificadora para ataques e o 
tráfego deve ser analisado com cuidado. A real necessidade da 
utilização de Ping em endereços de broadcast, o bloqueio de 
endereços da Internet, caso aconteça um ataque e possuir um 
sistema de detecção de intrusos antes de implantar a segurança da 


rede. [3]Deve-se verificar se a rede não está comprometida e, por 
fim, possuirum plano de reação. 


12. Ferramentas de Detecção 
de Negação de Serviço 


O Zombie Zapper serve para bloquear um-ataque em andamento. 
Caso.o IDS indique que a rede está sendo utilizada como platafor- 
ma de ataque, o Zombie Zapper funciona enviando comandos para 
os agentes interromperem o ataque. 

Find ddos é a ferramenta que foi desenvolvida por um órgão do 
FBlem função da grande quantidade de ataques DDos ocorridos. O 
find ddos localiza no sistema os Masters e Agentes das ferramen- 
tas Trin0O, Tribe Flood Network, TENZk e Stacheldraht. 

O DDosS Ping é um programa desenvolvido por Robin Keir. Ele possui 
interface gráfica, tornando mais acessível e fácil a sua utilização 
edetecta Agentes Trin00, Tribe Flood Network e Stacheldraht. O 
rastreamento é feito pelo envio de datagramas e mensagens UDP 


e ICMP para uma relação de endereços IP definidos pelo usuário. 


13. Repercussões é 


Algumas repercussões causadas por ataques DoS/Ddos foram 
relatadas na imprensa em modo geral, como foi o caso do 
site da Alldas[5], o da RIAA[6], o da SCO e o da Al Jaziral7). 
Isso mostra que os ataque DoS e DDoS geram prejuízos de 
formas incalculáveis, tanto na parte financeira como na 
parte das informações. 


14. Conclusão 


O DoS e DDosS tornaram-se uma grande ameaça a partir do 
momento em que as ferramentas para sua execução fica 
ram disponíveis na grande Rede de computadores. Hoje, 
devido ao grande número de ferramentas disponíveis, um 
ataque DoS/DDosS de grandes proporções pode ser realizado 
sem muitas dificuldades, mesmo por pessoas que não tenham 
conhecimento técnico de como estas ferramentas funcionam 
num ataque. 

Os ataques aos protocolos podem ser evitados pelo conserto 
das vulnerabilidades depois de sua descoberta. Por outro lado, 
os ataques do tipo força-bruta não podem ser evitados 
facilmente, principalmente por precisarem serimpedidos na 
sua origem. A ameaça de um ataque DDosS é impossível de ser 
eliminada, pois se um equipamento estiver conectado,sempre 
há a possibilidade de receber dados em quantidade acima do 
limite suportado. 

Atualmente, por causa Internet, não existe a possibilidade de 
garantir a segurança total de qualquer dispositivo conectado 
à Rede. Existem várias formas de minimizar a possibilidade de 
um DDosS, mas nenhuma é infalível. Se o atacante possuir 
tempo e recursos disponíveis, o ataque inevitavelmente será 
bem-sucedido. 

Uma solução alternativa seria um desenvolvimento de 
sistemas de segurança a serem implementados em pontos- 
chave da grande Rede de computadores com a finalidade de 
interromper os ataques em suas origens [4]. A partir do 
monitoramento dos principais roteadores da Internet, qual- 
quer ameaça DDoS teria imediatamente o seu tráfego 
reduzido ou mesmo bloqueado: Após o ataque, otráfego 
voltaria a ser liberado aos poucos, de maneira a não causar 
nundação em seus destinos. 


Os recentes ataques mostram que não apenas as empresas, 


mas toda a. infra-estrutura da Internet está vulnerável. Por 


sso é fundamental que o DDosS continue a ser estudado a fim 
de garantir a segurança da Internet. 
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Introdução: 

Recentemente, tive uma experiência nada 
agradável com usuários de um grande clien 
e meu. A empresa tinha feito uma recente 
mudança de seu CPD e aguardava um 
upgrade de link. A rede suportava uma VPN 
nterligando a sede no Rio com filiais em São 


Paulo, Minas Gerais e no estado do Rio de 


ém da Internet e um servico de 


aneiro, a 


mensagens baseado em Jabber. 


osse lá grandes coisas, já que o link era ape- 
nas de 256 Kb. Contudo, três semanas ap 

as mudanças, verificou-se uma perda de 
performance assustadora, que em alguns mo- 
mentos causava paralisia de diversos serviços 


on-line. Estudos feitos com o tradicional lptraf 


da uma política de bloqueio, que 


as ainda continua- 


muito o link, mas os problem 


Vam e era necessária uma ferramenta que fos- 
se mais informativa e que pudesse ser consul- 


ada a qualquer momento via Web 


um programa que pode ser utilizado em plata- 


ormas livres, como o Linux e o BSD, e proprie 


software é tão bom que a própria Cyc 


está querendo colocá-lo 


Ao | Vorat | reco | Sera [Seas | ar rigvc fp 


Network Traffic: Total Data (Sent+Received) 


Daia 
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Por Antônio Marcelo 
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Inicialmente, a plat 


um firewall montad oem 


AA 
m al 


tar-xzvf ntop-2.2.tar.gz 


-«/configure 
make 
make install 


cp scrip akefile.linux makefile 


Uma Ferramenta de Gerência 
de Tráfego de Redes 


A opção -P indica.onde iremos guardar o Colocando oNTOP em produção: 


ganco.de dados das-Informações temporanl 


| asdaquela seção. A -u indica q usianio que - : ; Para finalizar o nosso athigo, queremo 
| Irá executar ointop; 0-A pede Uma senha | eae = exemplificar uma instalação que hoje está em 
para/o administrador, a qual você deverá a ; Ser - produção para-que nossos leitores possam fe- 

digitar quando for pedida: Se'tudo corel ir e : petirem seus ambienteside teste: Inicialmente 

;-de acordo, vá para seu'navegador e digite a torinstalado o NTOP no firewall Linux eforam 


E alterados os seguintes arquivos 


DO o as! ja RO 


http://localhost:3000 


”) 
8: OD que pode s analisar sã s 7! 

Outro ponto que podemos analisar são os Jetco/re-d/zo. local = Foi acrescen: 

urgirá a seguinte-têla: pacotes recebidos: tada a seguinte linha de comando: 


EA) 


/usr/bin/ntop -P /tmp -i eth0 & 


o O go Ian do fp 


hs o Ab Rn EE No caso; a interiace que queriamos escutar 
d sair = somente era-a ethO 
ta Welcome to ntop! 4 


No senpt de firewall, foram acrescentadas às & 
seguintes linhas: 


ENTOP - Só acessa as máquinas esco- 

lhidas pelo admin de rede 

iptables -A INPUT -p tcp -s 0.0.0.0/ 

O —dport 3000 -j DROP 

iptables -A INPUT -p tcp -s IPMAQUINAL 

—dport 3000 -j ACCEPT 

- iptables -A INPUT -p tcp -s IPMAQUINA2 
e = —dport 3000 -j ACCEPT 


sa 


carga de rede nas estatísti 


O NTOP roda normalmente na porta 3000, 


e esta é a sua tela de entrad PRE a de ! - iptables -A INPUT -p tcp -s 127.0.0.1 
esta sua te e entrada q | Eis es operam apa Z -dport 3000 -j ACCEPT 

está em operação. Podemos ver acima — HE iptables -A INPUT -p tcp -s 

opções importantes como: Total, Recv, Sent, EE IPDAMAQUINADONTOP —dport 3000 -j ACCEPT 

Stats, IP Traffic, IP Protos, Admin. Vamos ver E 


O parâmetro IPMAQUINAX é o endereço IP 
um exemplo na prática de sua utilização onrpes care das máquinas internas do administrador. Li- 


ea beramos também o loopback e o próprio 
Alguns Pontos Práticos: 


endereço IP da interface eth0 
(IPDAMAQUINADONTOP). Lembrando que a 


O NTOP tem quatro menus:importantes 


ticas Interessantes: Explore-o e voc porta 3000 é bloqueada por padrão. 
descobrirá múitas informações úteis. O E Er 
Recy = Indica os pacotes recebidos pelo sotiware conta ainda com um módulo de Finalizando : 
nosklData Received) aarministração e de gerenciamento de plug- 


Sent= Inc os pacotes enviados (Dat e E 

ent Indica os pacotes enyjadeaibata ins; que Vale-a pena Você darun o O NTOP é uma resposta do softw 

E o ) 

ent ferramentas de gerenciamento-de rede. Além 

Statistics = Mostra as estatísticas da de ser poderosa; é excelenti para as atividade: 
US VuCcitod, E CA IL did « fe V a es 

tlização da rede 

utlização da rede do dia i-dia, principalmente em máquinas que 

pita za S àf e entrada e altabie Plus £ 

IPTraffic — Mostra o tráfego de entrada e se Available Plugins agem como firewalls ou bridges de redes 


saída da rede = : ; é à 
ão Linux é muito poderosa e está em regime 


GPL, podendo ser baixada e instalada à Vonta 
mos observa inte: o troughput de R 
Vamos observar o seguinte: o troughput d A Windows é paga. Lembramos que, para 
dados enviados para for, aparentemente 


S administradores de rede, é fundamental ter 
esta com atividade baixa. 


uma ferramenta dessas em seu cotidiano 
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SLACKPKG. 


Pessoa: - O ruim do Slackware é 
que tem que recompilar um monte 
de coisa quando sai um exploit em 
algum programa. 

Eu: 
patches, não tem segredo 
Pessoa: - Mas é muito complicado! 
tu: - Como complicado? Envolve 
três passos: 1) olhar o ChangeLog, 
2) baixar o pacote e 3) instalar O 
pacote! Não tem segredo nenhum! 
Pessoa: - Ah, mas com a ferramen 
ta xyz da distro abcd dá para fazer 
automático 

Eu 3ah! Fazer algo para baixar 


pacotes e instalar é coisa para um 


script de 15 minutos! 
Sei... 


Pessoa: 


Para adquirir o SlackPKG acesse: 
http://slackpkg.sourceforge.net/ 


Hein? É só baixar o patch no / 


| 


E foi assim que começou o slackpkg. 
Para falar a verdade, demorou mais 
de 15 minutos, mas no fim da tarde 
já estava mostrando a ferramenta 
para alguns amigos (e para a Pes 
soa). No dia seguinte, lancei a pri 
meira versão no SourceForge 

O slackpkg foi criado com uma fi 
nalidade bem específica: baixar os 
patches de segurança do Slackware 
e facilitar a vida dos preguiçosos 
Mas enquanto estava programan 
do, foram surgindo novas idéias, 
como possibilitar a instalação de 
pacotes novos e remover os já ins 
talados. Foi lançado, assim, o pri 
meiro release com essas funções 
(que na minha opinião deveria se 
chamar 1.0, já que fazia tudo que 
eu queria). 

Depois do pacote pronto e lança 
do, começaram a vir as sugestões 


dos usuários e, além das sugestões, 


2. O que é? 


O slackpkg é uma ferramenta para 
auxiliar o pkgtool no gerenciamento 
de pacotes do Slackware. Embora 
tenha sido inicialmente projetado 
para atualizar os patches de 
segurança, agora é possível fazer 
várias outras coisas, como instalar 
pacotes novos via rede, descobrir em 
qual pacote está um determinado 
arquivo e até mesmo realizar o 


upgrade da distribuição inteira via rede. 
Uma diferença dele para outras 
ferramentas semelhantes é que o 
primeiro segue a política KISS (Keep It 
Simple, Stupid), ou seja, tenta se 
manter o mais simples possível, apenas 
com-os recursos necessários para uma 


ferramenta de download/upgrade de 


pacotes. Até mesmo na escolha da 
linguagem para programar o slackpkg 


os patches e bug reports. Isso mos 


tra algo bem interessante: da mes 


ma maneira que vários outros pro 
jetos, o slackpkg começou de um es 


forço individual, e 


depois que já ha 
via um release utilizável, a comuni 
dade começou a contribuir. Normal 
mente essa é uma fórmula vitoriosa, 
enquanto que os projetos que come 
çam pela página/lista de discussão/ 
fórum e só depois são concretizados 
normalmente caem no limbo. 

Ainda hoje, 90% do código é escrito 


e mantido pelo main developer, ou 


seja, eu. Poucas pessoas que utilizam 
o slackpkg fazem alguma alteração 
no código dele, e menos ainda envi 
am o código alterado para mim. 

sso tem um lado bom, pois lero códi 
go que enviam, verificar o que é útil 
e qual a melhor maneira de incluí-lo 
dentro do slackpkg é extremamente 


trabalhoso. Algumas vezes as idéias 


resolvemos mantê-lo simples: ele é todo 
escrito em shell, uma linguagem conhecida 
de 11 entre 10 administradores de 
sistemas, e, portanto, pode ser facilmente 
adaptável para suas necessidades. 

Ele de 
encontrados nos mirrors do Slackware (ou 
no CD-ROM), não dependendo de nenhum 
arquivo externo à distribuição. Não é 


de exclusivamente de arquivos 


realizada nenhuma resolução de depen- 


são boas e o código não, por isso eu 
acabo tendo que reescrever o código 
para inserir no slackpkg. Outras ve- 
zes, o código é ótimo e a idéia é não 
é tão boa, e por aí vai... Muitas idéi 
as e códigos bons ficam de fora pela 
própria filosofia do slackpkg, que é se 
manter simples. Algumas estruturas de 
programação são extremamente 
criptográficas e tentamos manter o 
código do slackpkg inteligível 
Se você pretende iniciar um projeto 
de software livre, lembre que ele vai 
ser “seu” filho e provavelmente você 
será o principal desenvolvedor por um 
bom tempo. Se é isso que você gosta 
programar, 


pensar em features, 


corrigir, melhorar, etc. =, então es 
tará no céu. 

Atualmente, o slackpkg está incluso 
no Slackware 9.1 (diretório /extra), 
e tenho recebido mais contribuições e 


idéias que antes. É bem gratificante 


dências, e muito menos são executadas 
nfigurações automáticas. Sincera- 

mente, esse tipo de coisa é tarefa do 

administrador do sistema. Uma cois 

automatizar o download/upgr 

é uma tarefa mecânica; saber 

»r OU não uma determinada 

a da ferra- 


nfiguração não é ta 


menta de download/upgrade, e sim de 


quem a execu 


receber esses e-mails e até mesmo 
aqueles com dúvidas ou bug-reports 
isso mostra que tem gente que usa e 
se importa com o slackpkg. Como 
ele já tem todas as funções 

que acho interessan- 

tes, estou na 


fase de torná-lo mais rápido para (em 
breve) lançar a versão 1.0 -:)) 


3. Como funciona? 


E Embora possa ser utilizado para efetuar o upgrade da 
* slackpkg update E distribuição inteira: 


% slackpkg upgrade slackware 


| Apenas tome cuidado com isso, pois um upgrade completo requer 
ed ga alguns pequenos cuidados (como executar o lilo depois de fazer 

o padrão: 

| upgrade do pacote do kernel). 


* slackpkg função «<padrão> É f 


E se iautá Ê 


E blacklist 


No qualo padrão ror Je um pacote ( 


dele) ou de um direté 


conjunto FER Jna blatklistdo ts bs Sa sas 
* slackpkg install kde/ E eteslackpkg/blacklist não são mais instalados/Upgradeados/ 


felastalados Pelgslatkpko. | 


1) 


todos os pacotes KDE. janto: Este comando é idealpara colocar vários pacotes ão mesmo 


; E vempo na blacklst Eu acho aa a útil colocar todos Os 
* slackpkg upgrade patches “della dentro à ec E 


a 
oo. 


patc U ; faso É slackpkg blacklist kde-ilBn 


REM 


- Mstalar 


e atualizar os pacotes. Esses outros são melhor 


gredo. | tra remover é Os pacotesi instalad que 


search a. E 

E um usuário, agora faltam as manpages dos arquivos de Procuta um determinado arquivo &/ou diretório. Com est 

| configuração), mas vamos vê-los um pouco melhor: do é possivel saber em que pacote está cada arquivo. Útil para É 
deteciar em qual pacote está uma biblioteca misteriosa qualquer E 

installlreinstall Í ê 

à Os dois fazem basicamente a mesma coisa: baixam e instalam um 

pacote. A diferença de um para o outro é que o reinstall instala D. Fazendo (o) upgrade completo 

E apenas pacotes já instalados, enquanto o install instala apenas E 

É pacotes novos. Para passaf o Slackware do 9 para o 9.1 utilizando 9 slackpkg, Sao 


| Como explicado anteriormente, você pode utilizar o nome de um É necessários alguns comandos: | | 


* 


x ha F 


pacote, parte do nome ou uma série inteira. Depois do slackpkg 


| detectar quais pacotes casam com o padrão, eleirá lhe mostrar | * slackpkg update [ realiza o update das O q 
| À listas de pacotes ] 


] uma lista com todos os pacotes que serão instalados/reinstalados. 


* slackpkg install coreutils [ pacote novo, mas 


o Ê a Es 
Basta responder sim (Y) ou não (N), e, no caso da resposta afirmati Meceasário para o 9.1 1 


va, irá começar o download e a instalação dos pacotes. 4 slackpkg install utempter [ mesmo caso do an E 
coreutils ] Ko 

) upgrade É slackpkg upgrade slackware [ realiza o upgrade 

de todos os pacotes 


ta 


' Segue o me ão do installlreinstall e serve apenas para 
289 mesmo padrão nstalllrei Fe apedas!| instalados. Se não fossem É 


atualizar pacotes já instalados. O padrão mais comum a ser 
utilizado com ele é: 


PB adicionados 


pacotes novos na distri- 
buição, este 


* slackpkg upgrade patches seria o único comando 


E 
necessário além 


do “update” 


.«/lal...lala/-> para mirrors via web 
«ala/-> para mirrors via ftp 
1/lalal...1la/-> para mirrors locais 


http://lal.. 
| ftp://lala.../lala.. 


série de variáveis de ambiente, com fartos comentári- 
os de como utilizar cada uma, mas nunca é demais 
esclarecer: 


TEMP - Os pacotes, quando forem baixados 
da Internet, irão todos para este diretório, e 
é interessante que este tenha espaço para 
pacotes grandes, como os do TEX ou o 
kernel-source 


DELALL - Se for 0, os pacotes que estão no 
TEMP serão mantidos (até você apagá-los 
manualmente); se for 1, eles serão todos 
apagados após o download (o que é uma boa 
idéia para você não acabar com o espaço no 
seu HD com zilhões de pacotes) 


CHECKPKG - Esta variável indica se o pacote 
que você baixou será verificado ou não antes 
de ser instalado. Dica de amigo: faça à 
verificação. 


WGETELAGS - Parâmetros para passar ao 
wget. Você pode querer colocar aqui as 
configurações do seu proxy, por exemplo. 


FIRST, SECOND, THIRD e FOURTH - Estabele- 
cem a prioridade de busca dos pacotes. Por 
default, primeiro eles são procurados no 
patches, depois no slackware, no extra e, 
por fim, no pasture. Com isso, se você 
mandar fazer um “upgrade slackware” e um 
pacote do patches for mais novo, ele irá 
baixar o pacote do patches. 


São poucas variáveis, e a configuração 
padrão costuma ser suficiente para todos os 
casos. Um cuidado especial para a definição 
do diretório temporário: coisas estranhas 
acontecem se acabar o espaço hele. 


Finalizando 


Neste artigo vimos como foi criado o slackpkg, como ele 
funciona e para que serve. Se você tem alguma dúvida, 
sugestão, patch, bug report para o slackpkg ou para este 
artigo, entre em contato: piterpkQterra.com.br. 
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Automated/Active Response 
(Resposta Automática) 


Assim como alertam um ataque, alguns IDSs podem automatica- 

mente defender-se deles. Isso é ativado por uma série de formas: 
primeiro, reconfigurando roteadores e firewalls para rejeitar 

tráfego pesado do mesmo destinatário, ou, segundo, criando 

pacotes na rede pra resetar a conexão. 

Entretanto, existem problemas nos dois métodos. Um atacante 

pode, por exemplo, utilizar-se de um endereço spoofado para 
convencer o firewall, router ou o que seja a bloquear um endereço k 
amigo, já os resets podem causar um falso positivo, causando 
interrupção no tráfego normal. 


Os atacantes usam os resets por meio de seu ataque para desco- 
brir, por entre os pacotes TTL, onde o IDS da rede está, uma vez 
que alguns distribuidores marcam seus resets com variáveis TTL. 
Outras considerações são: os resultados vão para ambos, origem e 
destino? Onde o pacote é injetado na rede? Finalmente, e os 
pacotes UDP? 

Sinceramente, acho que o Automated Response só deve ser usado 
em ambientes nos quais as chances de um falso positivo são 


MIRA lo lo RE no RAE daN RR EA ER mínimas, e mesmo assim o administrador deve correr o risco. 


>| Bandwidth (Largura de banda) 


Bandwidth é a maior quantia de dados que pode atravessar um 
segmento de rede. O uso da largura de banda é uma grande ferra- 
menta para os analistas de IDS, uma vez que o aumento inesperado 
pode ser um alerta de DDOS ou algum ataque co-relativo. 


>| Blacklist (Lista Negra) 


Milhares de organizações mantêm atualizada uma lista de endere- 
ços já identificados por elas como ameaças, que irão ou vão ser 


bloqueados ou monitorados de perto. Alguns sites na Internet 
mantêm essas listas para download, como o http:/Avww.kgb.to/. 


CIDF - Common Intrusion Detection 
Framework (Sistema Público de 
“Detecção de Intrusão) 


Um problema antigo quando se trata de vulnerabilidades é que 
O CIDF consiste num esforço para padronizar a detecção de 


os fabricantes de diferentes scanners chamarão a mesma 


intrusão, desenvolvendo protocolos e aplicações e programando vulnerabilidade por um nome diferente. Mais ainda: alguns 


interfaces, nas quais os programas de detecção possam trocar fabricantes têm assinaturas múltiplas da mesma vulnerabilidade, 


informações e recursos para que registros anteriores possam ser 


aumentando o banco de dados de seu produto e tornando-o, 
reutilizados no sistema. 


lusoriamente, mais efetivo: A MITRE fora fundo e, com o.CVE, 
padronizou nomes de vulnerabilidades — por favor, visitem 
WWW .cve mitre.org 
CISL - Common Intrusion 
Specification Language (Sistema E 
Público de Especificação de Lingua- ' 
gem de Intrusão) ud 
Os DeepSight Analyzer e TMS são um serviço gratuito oferecido 


CISL é a linguagem usada pelo CIDF para comunicar-se entre si. 
pela SecurityFocus e Symantec (SecurityFocus pertence à 
Symantec), no qual redes conectadas à Internet devem-passar seus 


eventos de segurança de rede anonimamente. Os eventos são, 


Content Monitoring (Monitoramento 
de Conteúdo) 


então, correlacionados por diferentes IDS e firewalls, permitindo ao 


| usuario monitorar com muito mais.confiança-o seu sistema 


nr 


nei 
Esta consiste na habilidade de aplicar regras de segurança ao corpo JR 

das comunicações em transmissões de rede. Em conjunto, refere-se 

à filtragem de URL e e-mail. 

De maneira diferente dos elementos de infra-estrutura, como Originalmente, o termo foi usado como método de evasão 

roteadores, firewalls e alguns IDS, que vasculham o conteúdo utilizando sequência de números. Essa técnica foivista em 1998 
independentemente do contexto, o sistema de monitoramento de e está obsoleta 

conteúdo deve reunir as transmissões de rede para análise do 

contexto, para depois analisar o conteúdo. + 


>| Consoles 


| Para fazer o IDS se adequar à aplicação corporativa, os sensores do 


IDS dispersados precisam se reportar a um console principal. Agora, 
muitos desses consoles aceitam dados de outras fontes, como IDSs 
de outros fabricantes, firewalls, roteadores, etc. Essas informações 
podem ser relacionadas para apresentar uma imagem mais bem 
formada do ataque. Onde o console aceita múltiplas fontes, cada 
produto irá reportar o mesmo evento de formas diferentes. O 
console principal de segurança terá sua própria taxonomia, 
permitindo que os eventos sejam analisados, enquanto que o 
evento a ser entendido será somente o transmitido pelo console. 


>| Correlation (Correlação) 


Correlação é a interação de múltiplas fontes de dados para 
explorar um entendimento maior de um incidente. 


E quando o atacante procura descobrir em uma rede quais 
serviços é hosts estão presentes. Essa ação não é mais passiva, 


portanto pode ser detectada 


Evasão é o processo de mandar um ataque sem que o DS 
detecte-o com sucesso. O truque e fazer o IDS ver uma coisa e o 
ilvo, outra. Uma forma de evasão. é setar diferentes tempos de 


vida (TIL) para-diferentes pacotes. Dessa forma, a informação 


passa pelo IDS como inofensiva — mas o-TTL considerado inofensi 
vo não seria o suficiente para alcançar o alvo, Uma vez, alem do 
DS e perto do alvo, O pacote inofensivoé abandonado, deixando 


O pacote nocivo ativo 


Esse exemplo está extremamente: resumido. Para se aprofunda! 


mais no assunto, acesse a URL abaixo para ver alguns dos 


principios de evasão, inserção e Dos (em inglês): http:// 


www .securityfocus.conm/library/745 


> False Negatives/Miss (Falso Negativo/ 
Perda) 


Um falso negativo acontece quando um ataque ou evento ou não é 
detectado pelo IDS, ou é considerado benigno pelo analista. 
Geralmente, o termo falso negativo se aplica ao IDS, não reportando 
“um evento. k 
Quanto ao analista, ocorre o seguinte: ele vê certa assinatura dia apos 
dia e sabe que ela é benigna, ignorando-a, mas um dia o IDS reporta 
um ataque genuíno com a mesma assinatura. O analista, então, 
ignora-o, acreditando ser benigno, assim gerando um Falso Negativo. 


>| False Positives/False Alarm 


É um evento que é pego como ataque pelo IDS, mas que na 
verdade é benigno. 


>| Fragmentation (Fragmentação) 


Se um pacote é grande demais para passar em um segmento de 
rede, ele terá que quebrá-lo em pedaços menores (fragmentos). 
Geralmente, a fragmentação é vista em redes que têm diferentes 
MTU (Maximum Transmission Units, ou Número Máximo de 
Unidades de Transmissão). Por exemplo, para redes em anel, o 
MTU é 4464, e para Ethernet é 1500. Então, se um pacote se 
move da rede em anel à Ethernet, ele terá de ser fragmentado em 
pedaços menores, e estes, reagrupados no alvo depois. 

Hackers vêem a fragmentação como um método de evasão aos 
IDS, e há também alguns ataques de DoS que usam essa técnica. 


>| Heuristics (Heurística) 


O termo deve ser usado com inteligência artificial (Al), usada por 
IDSs na detecção de intrusões. É do conhecimento geral que eles 
ainda não são “espertos” o suficiente e que podem ser treinados 
por hackers a ignorar o tráfego malicioso. 


ES Honeynet Project (Projeto Honeynet) 


De acordo com a desenvolvedora, uma honeynet “é uma ferra- 
menta de aprendizado”. Trata-se de uma rede de sistemas de 
produção que foi desenhada para ser atacada. Uma vez comprome- 
tida, a informação é capturada e analisada, para aprender sobre a 
comunidade black hat. A Honeynet é uma fonte de recursos de 


extremo valor, provendo uma visão interna de um ataque. 
E 


Honeypots são ferramentas de segurança que apresentam 

grande flexibilidade. Elas não solucionam um problema * á 
específico, mas têm múltiplos usos, como prevenção de 
intrusão, detecção ou reunião de informações. Todos os 

honeypots partilham o mesmo-conceito: um-recurso de 

segurança que não deve ter produção ou atividade autorizada 

- e isso o torna de fácil uso. 

Existem, no geral, dois tipos: produção e pesquisa. O honeypot 

de produção é conhecido como honeypot de baixa interação, 

de fácil uso, de captura de informação limitada apenas e é 

usado primariamente por companhias ou « orporações para 

monitorar assuntos internos. Os honeypots de pesquisa são 

complexos de desdobrar e manter, capturam grande quantida 

de de informação e são usados primariamente para pesquisa 

por organizações militares ou governamentais. Outro propósito 

é atrasar atacantes em sua busca de alvos legítimos, causando 

uma perda de tempo razoável no honeypot, em que o alvo 

original está seguro, deixando os dados de real valor protegi E 
dos. Em alguns países, os órgãos da lei não podem ser aciôna 


dos tendo o honeypot como prova de invasão 


Ea 
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ma das fases mais importantes da invasão é o 
footprint, método em que o atacante busca o 
máximo de informações sobre o hostalvo para, 
a partir delas, tentar a invasão efetivamente. Um meio 
de se obter tais informações que merece destaque é 
por meio de consultas à base de DNS. 


aee ' 
a 
” mp 

Q foco deste artigo é mostrar, na sê servidorraiz são os TopsLevel Domain 

prática, a importância da configuração ” Narmes(TLDs), divididos em dois tipos: os 

doDNS; pois dn já vez que este é mal de trêse de duas letras 

configurado, informações valiosas podem JLDS de trêsdetrasforam os:primeiros a 

ficar disponíveis na Internet, em que serem criados, sendo gliginalmente 

qualquer um pode obte-las. dêmínios estadounidenses. Mais tarde, 


três deles foram reclassificados como TiDs 
1- O que é e como funciona o genéricos, chamados dele TLDs, que são os 


DNS? e -COM, NET e .ORG. Os demais (EDU, .MIL, 
DNS 6 a sigla para Domain Name System etc.) continuam sendo exelúsivos dos EUA. 
ou Sistema de Nomes de Dominios ' Já os TLDs de duas letras SUfgiram com a 

É uma base de dados hierárquica, internacionalização da Internetze 
distribuída para a resolução de nomes de Syas letras correspondem a um código 
domínios em endereços IP e vice-versa para cada país. São os ceTLDS (Country 

A estrutura de nomes na Internet tem o Codes TLDs), como, por exemplo, .br para o 
formato de uma árvore invertida na quala Brasil e .ar para Argentina 
raiz é conhecida como root server Então, ao fazermos uma consulta por 
(servidor raiz tredargolo.com.br, a árvore ficaria 

Us ramos Imediatamente inferiores ao assim 


Root Server 


org net go 


com vV mil br ar 


e ua 


com gov org 


é 


fredargolo 


s Informaçõe tipo TXTe HINFO não 


? onsultas nslookup with 


ento do DNS, à the *-sil[ent]' option to 
prevent this message from 
appearing. 

> set type=any 
> fredargolo.com.br 
Server: 127.0.0.1 
Address: 127.0.0.1%53 


fredargolo.com.br E so e 
origin = ns.fredargolo.com.br MM 9) (o) 


mail addr = ita ao atacan- 
root. fredargolo.com.br H Re 
serial = 2003082500 agent à 
: refresh = 28800 E: : 
Ê 2 E ita page i ções fique 
define o endereço IP relacionado ao nome de máquina Osté star jk Je co 
“ cria um alias para um domínio 
cpu e sistema operacional do HOST 
indica quem é servidor DNS do domínio 
host que atua como mail exchanger do domínio 
nome do host para um dado endereço IP 
define o servidor DNS 
texto sobre a máquina 
e pa a ea Di xa A 


Host Adress 
Canonical Name 
Host Information 
Name Server 

Mail Exchanger 
Pointer Register 
Start of Authority 
Arbitrary text 


Í 


queta! 
” > x 
são do BIND: 
retry = 14400 à o À 


expire = 3600000 ; a kudldhes vão 
minimum = 86400 sos repositórios de. 
fredargolo.com.br nameserver = EM a ss ' op 
ns.fredargolo.com.br. . agree sue 
E Name: fredargolo.com.br 
Address: 192.168.0.1 
fredargolo.com.br text = “Labo- 
ratório do lo. andar” 
fredargolo.com.br hinfo = “i686” ———— Usando host ———— 
“Slackware” 


Usando host 


$ host -a fredargolo.com.br $ host -t txt -c CHAOS 


Trying “fredargolo.com.br” Usando dig ——— version.bind. fredargolo.com.br 
7: ->>HEADER<<- opcode: QUERY, ã Using domain server: 
status: NOERROR, id: 1690 fia $ dig -t any fredargolo.com.br Name: 192.168.0.1 
ii flags: qr aa rd ra; QUERY: 1, 08 ij <<>> DiG 9.2.2 <<>> -t any a Address: 192.168.0.1%53 
ANSWER: 5, AUTHORITY: 0, fredargolo.com.br EE Aliases: É 
ADDITIONAL: 1 :: global options: printcmd E version.bind text “9.2.2” 
ii QUESTION SECTION: ;: Got answer: a 
EM jfredargolo.com.br. IN ANY E :; ->>HEADER<<- opcode: QUERY, E Usando nslookup 
E ;; ANSWER SECTION: EN status: NOERROR, id: 64765 
» fredargolo.com.br. 86400 IN SOA ) :i flags: gr aa rd ra; QUERY: 1, $ mslookup -g=txt -class=CHAOS 
Beii ns. fredargolo.com.br. ANSWER: 5, AUTHORITY: 0, version.bind. fredargolo.com.br 
a» root. fredargolo.com.br. EM ADDITIONAL: 1 Note: nslookup is deprecated and | 
E 2003082500 28800 14400 3600000 :3 QUESTION SECTION: may be removed from future a 
à 86400 ;ifredargolo.com.br. IN ANY releases. ; 
fredargolo.com.br. 86400 IN NS 1; ANSWER SECTION: Consider using the '“dig' or 
ns.fredargolo.com.br. fredargolo.com.br. 86400 IN SOA “host” programs instead. Run 
A fredargolo.com.br. 86400 IN A ns.fredargolo.com.br. nslookup with 
x 192.168.0.1 root.fredargolo.com.br. the '"-sil[ent]' option to 
E fredargolo.com.br. 86400 IN TXT 2003082500 28800 14400 3600000 86400 prevent this message from 
“Laboratório do lo. andar” fredargolo.com.br. 86400 IN NS appearing. 


fredargolo.com.br. 86400 IN ns.fredargolo.com.br. Server: 192.168.0.1 

HINFO “i686” “Slackware” fredargolo.com.br. 86400 IN A Address: 192.168.0.1H53 
:; ADDITIONAL SECTION: 192.168.0.1 version.bind text = “9,2.2” 
ns.fredargolo.com.br. 86400 IN A fredargolo.com.br. 86400 IN TXT 

192.168.0.1 “Laboratório do lo. andar” ; Usando dig 


Received 193 bytes from 
127.0.0.1H53 in 1 ms 


fredargolo.com.br. 86400 IN 
HINFO “i686” “Slackware” $ dig efredargolo.com.br 
:i ADDITIONAL SECTION: version.bind chaos txt 
ns.fredargolo.com.br. 86400 IN A ; <<>> DiG 9.2.2 <<>> 
192.168.0.1 OGfredargolo.com.br version.bind 
:;i Query time: 4 msec chaos txt 
1; SERVER: global options: printcmd 
127.0.0.1%53(127.0.0.1) Got answer: 
73 WHEN: Sun Aug 10 23:57:13 2003 73 ->>HEADER<<- opcode: QUERY, 
ii MSG SIZE recvd: 193! status: NOERROR, id: 27685 


Usando nslookup 


$ nslookup 
Note: nslookup is deprecated and 
may be removed from future releases. 
Consider using the “dig' or 
“host” programs instead. Run 


;; flags: gr aa rd; QUERY: 1/ 
ANSWER: 1, AUTHORITY: 0, 
ADDITIONAL: O 
11 QUESTION SECTION: 
;version.bind. CH TXT 
12 ANSWER SECTION: 
version.bind. O CH TXT “9.2.2” 
:: Query time: 3 msec 
17 SERVER: 

E 192.168.0.1%53 (fredargolo. com.br) 

a) 1; WHEN: Sun Aug 10 23:54:17 
2003 

1: MSG SIZE recvd: 48 


releases. 

Consider using the "dig' or 
“host” programs instead. Run 
nslookup with 

the *-sil[ent]' option to 
prevent this message from 
appearing. 

Server: ns.fredargolo.com.br 

Address: 192.168.0.1%53 

fredargolo.com.br 

origin = ns.fredargolo.com.br 

mail addr = 

$ host -t ns fredargolo.com.br root. fredargolo.com.br 

fredargolo.com.br name server E serial = 2003082500 
ns.fredargolo.com.br. refresh = 28800 

fredargolo.com.br name server À retry = 14400 
ns.algumacoisa.com.br. expire = 3600000 
minimum = 86400 
fredargolo.com.br nameserver = 
EN ns.fredargolo.com.br. 

Name: fredargolo.com.br 
Address: 192.168.0.1 

Name: ftp.fredargolo.com.br 
Address: 192.168.0.2 E 
Name: gw.fredargolo.com.br 
Address: 200.200.200.200 

Name: cisco- 


options ( 
directory “/var/named” ; 
version “Not Available”; 


Usando host 


$ host -1 fredargolo.com.br net32.fredargolo.com.br E 
je E ns.algumacoisa.com.br Address: 192.168.0.3 
Vamos verificar se funcionou: : Using domain server: Name: intranet.fredargolo.com.br 
? host -t Ext -c CHAOS E name: ns.fredargolo.com.br Address: 192.168.0.4 
version.bind. fredargolo.com.br Address: 192.168.0.1%53 fredargolo.com.br 
Using domain server: Aliases: origin = ns.fredargolo.com.br 
Name: 192.168.0.1 fredargolo.com.br SOA mail addr = 
Addcena: 192.168.0.1%53 ns.fredargolo.com.br. root. fredargolo.com.br 
Aliases: root. fredargolo.com.br. serial = 2003082500 
version.bind text “Not Available”, 2003082500 28800 14400 3600000 refresh = 28800 
86400 retry = 14400 

Opa! Agora os scripts kiddiesvão ter que fd ga a ba nina er 

) Rica Md :: 192.168.0.1 minimum = 86400 


achar outro servidor que tenha a versão £tp.fredargolo.com.br has 


que eles precisam para usar o exp/oit. address 192.168.0.2 Voando dig ê 
gw. fredargolo.com.br has address ; + 
ss Nú 200.200.200.200 $ dig ens.algumacoisa.com.br t 
4 - Transferência de zona cisco-net32.fredargolo.com.br axfr fredargolo.com.br 
Transferência de zona:é o processo de has adress 192.168.0.3 ij <<>> DiG 9.2.2 <<>> dá 
; j intranet. fredargolo.com.br has ens.fredargolo.com.br axfr ' 
replicar SITUREGUNO. de zona para outro address 192.168.0.4 fredargolo.com.br : 
servidor DNS. Assim, o servidor DNS fredargolo.com.br SOA ;; global options: printcmd 
secundário (s/ve) possuirá uma réplica do ns.fredargolo.com.br. fredargolo.com.br. 86400 IN SOA 
: Nets root.fredargolo.com.br. ns.fredargolo.com.br. 
banco de dados do servidor primário 2003082500 28800 14400 3600000 root. fredargolo.com.br. 
(masten. 86400 


2003082500 28800 14400 3600000 
86400 e 


ns.fredargolo.com.br. 86400 IN A À 
192.168.0.1 


ftp.fredargolo.com.br. 86400 IN e é 
A 192.168.0.2 


gw. fredargolo.com.br. 86400 IN A 
200.200.200.200 


cisco-net32.fredargolo.com.br. 


Sempre que há alguma alteração no 
banco de dados do primário, a transferên- 
cia de zona do servidor primário para o 


Usando nslookup 


$ nslookup -q=ax£r 
secundário é realizada. Essa redundância fredargolo.com.br 


de dados evita que tenhamos somente u sd cp 
z Era q S rá do Note: nslookup is deprecated and 
ponto de falha, ou seja: se o servidor may be removed from future 


CER di 


86400 IN A 192.168.0.3 
intranet.fredargolo.com.br. 
86400 IN A 192.168.0.4 
ns.fredargolo.com.br. 
root.fredargolo.com.br. 
28800 14400 3600000 
86400 
;i Query time: 
11 SERVER: 
192.168.0.1%53 (ns.algumacoisa.com.br) 
WHEN: Mon Aug 25 18:01:30 


2003082500 


17 msec 


XFR size: 8 records 


O retorno que esse comando pode 
oferecer é realmente impressionante -No 
exemplo, vimos asriqueza das informações 
que-conseguimos obter mapeando o 
dominio fredargolo.com.br. 

Para evitar que.o atacante realize uma 
transferência de Zona, você deve definir 
quais Máquinas podem executar as 
transferências adicionando a linha-a/ou 


transterno trecho options do arquivo /eic 


acl rede 
10.0.1/24; 
10.10.0.10/32; 
) 
options ( 
allow-transfer ( rede; |; 


Aacl rede definiu que 0 |R40/10.010e: 
rede 10.0.1 podemrealizantransterência 
de zona. Então, agora, Se algum IP além 
desses temtar executar uma transferência, 


será fécusado, Observe: 


$ host -1 fredargolo.com.br 
ns. fredargolo.com.br 

Using domain server: 

Name: ns.fredargolo.com.br 

Address: 192.168.0.1%53 

Aliases: 

Host fredargolo.com.br not 
found: 5 (REFUSED) 

: Transfer failed. 


Caso cada Zona tenha uma rede ou IPs 


especificos, coloque.a cláusula 3/0wt 
À 


lefinefa zona do 


| | 
aentro ao bloco que de 


arquivo etc namegconT. 


5 - Consultas reversas 


jal você obtém o host à 


[OE 
D 


naneira- diferente do que 


nnrmalmanto á fe 1) 
normalmente é Teito). 


Usando host 


$ host 192.168.0.2 
2.0.168.192.in-addr.arpa domain 
name pointer ftp.fredargolo.com.br 


Usando nslookup 


$ nslooup 192.168.0.2 

Note: nslookup is deprecated and 
may be removed from future 
releases. 

Consider using the '“dig' or 
“host” programs instead. Run 
nslookup with 

the '-sil[ent]' option to 
prevent this message from 
appearing. 

Server: 127.0.0.1 

Address: 127.0.0.1%53 

2.0.168.192.in-addr.arpa name = 
ftp.fredargolo.com.br. 


Usando dig 


$ dig -x 192.168.0.2 
; <<>> DiG 9.2.2 <<>> -x 
1927168:0;2 
:; global options: printcmd 
:: Got answer: 
7; ->>HEADER<<- opcode: QUERY, 
status: NXDOMAIN, id: 42304 
:; flags: qr aa rd ra; QUERY: 1, 
ANSWER: O, AUTHORITY: 1, 
ADDITIONAL: O 
;; QUESTION SECTION: 
;2.0.168.192.in-addr.arpa. IN 
PTR ftp.fredargolo.com.br 
;; AUTHORITY SECTION: 
0.168.192.in-addr.arpa. 
SOA ns.fredargolo.com.br. 
; Query time: 
; SERVER: 
-0.0.1%53(127.0.0.1) 
WHEN: Sun Aug 31 16:05:51 


86400 IN 


6 msec 


MSG SIZE revd: 103 


Agora, 


pouco mais perigoso 


S for i in "seg 1 5'; 
192.168.0.$i ; done 
1.0.168.192.in-addr.arpa. domain 


do host 


: name pointer ns.fredargolo.com.br. 


2.0.168.192.in-addr.arpa. domain 
name pointer 
ftp.fredargolo.com.br. 

3.0.168.192.in-addr.arpa. domain 
name pointer cisconet32. 

fredargolo.com.br. 

4.0.168.192.in-addr.arpa. domain 
name pointer 
intranet. fredargolo.com.br. 

Host 5.0.168.192.in-addr.arpa. 
not found: 3(NXDOMAIN) 


$ host 192.168.0.1 

1.0.168.192.in-addr.arpa domain 
name pointer 192-168-0- 
1.fredargolo.com.br. 


6 - Conclusão 
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Configurando um 


como roteador 


Neste artigo, iremos ensinar como transformar um 3865X com apenas 4 MB de RAM em um roteador útil e 


funcional. É. o Linux (mais uma vez) salvando a pátria e dando uso a um computador considerado, por alguns, 


como inútil 


2. Instalação 


O Linux utilizado foi o Slackware 7.1, mas 


poderia ser o 7.0 também. Em geral, é 


melhor utilizar o kernel 2.0.x; no entanto, o 


Placa de rede NE2000 ISA objetivo deste artigo é escrever um firewall, e 
existe muito mais documentação sobre o 


MM jpchains (da série 2.2.x) do quesobreo 
ipfwadm (da série 2.0.x). Se você souber usar 
o ipfwadm, instale o Slackware 3.3 ou 96, e você terá um desempenho melhor 
O primeiro passo da instalação é retirar o HD do 386 e colocá-lo em outro compu- 
tador mais possante. Coloque-o como master da primária. Insira o CD do Slackware e dê o 
boot pelo CD-ROM. 
Não existe segredo aqui, eu particioneio meu HD assim: 


/ /dev/hdal 
swap /dev/hda2 


102MB 
8MB 


E sobrou espaço no /. Como sobrou espaço, é mais inteligente fazer desta forma: 


/ /dev/hdal 90MB 
/tmp /dev/hda2 12MB 
swap /dev/hda3 8MB 


Assim, você pode montar a partição / como read-only e desligar e ligar o computa- 
dor direto, sem a necessidade de um shutdown. Tenha em mente que os logs do sistema 
terão que ser desligados ou enviados para outra máquina, já que nesta tudo opera em 
read-only. Se você prefere manter seus logs no próprio roteador, utilize a partição / como 
rw (ou faça uma Aar separada). 

Depois do.reparticionamento, inicie o programa de instalação e siga as instruções 
normalmente. Quando for formatar a partição, lembre-se de escolher 1024 bytes por inode. 

Instale as séries A e N no modo menu para que você possa retirar tudo aquilo que 
não for utilizar. Instale apenas o necessário para as funções de routet e firewall. A minha 
instalação deu 67 MB, mas nada impede que a sua seja menor. Atenção! Não tente 
detectar a sua placa de rede: lembre-se que no 386 será outra placa! Depois do Linux 


instalado, reboote a máquina, mas não devolva o HD para o 386, pelo menos não ainda. 


ram uá 


3. Configuração 


Agora, vamos configurar a 
máquina. Se você seguiu a minha dica de 
particionamento, seu /eto'fstab deverá 
ficar deste modo: 


/dev/hdal / ext2 
ro ER ai 

/dev/hda2 /tmp ext2 
defaults q fe 

/dev/hda3 swap swap 
defaults oo 

none /dev/pts devpts 
gid=5,mode=620 0 O 

none /proc proc 
defaults oo 

Se você não tem partições 


separadas para o /itmp e para o /, não 
coloque o / como read-only, caso 
contrário você terá problemas com isso. 
Depois de editar o /etc/fstab, é 
importante editar o /etc/lilo.conf. 
Comente as linhas que dizem prompt e 
timeout e rode o lilo. Com essas altera- 


ções, você garante que o computador 


“irá iniciar automaticamente. 


Também deve ser editado / 
etc/rc.d/rc.S, em uma linha na qual 


está escrito: 


/sbin/mount -w -v -n -o 
remount / 

Deve ficar: 

/sbin/mount -r -v -n -o 


remount / 


50SX 


Isso é feito para que o sistema de 
arquivos /não seja remontado como para 
escrita-leitura (assim'a gente o obriga a 
ficar apenas como leitura). 

Como a máquina em que vamos 
rodar possui pouguíssima memória, é 
necessário diminuir ao máximo a quantida- 
de gasta. Para isso, um dos métodos é 
deixá-la com apenas um console virtual. 
Para tanto, edite o /etc/inittab, no qual 
você irá achar: 


cl:12345:respawn:/sbin/ 
agetty 38400 ttyl linux 

c2:12345:respawn:/sbin/ 
agetty 38400 tty2 linux 

cn:12345:respawn:/sbin/ 
agetty 38400 ttyn linux 


Apague todas as linhas, deixando 
apenas a primeira (c1). O próximo passo é 
retirar os servidores desnecessários 
editando o /etc/rc.d/rc.inet2; infelizmente, 
só você pode saber o que é e o que não é 
necessário no seu computador. 

Por último, edite o /etc/rc.d/ 
re.modules e comente as seguintes linhas: 


if cat /proc/ksyms | grep 
“AIparport pcl]” 1> /dev/null 2> / 
dev/null; then 
echo “parport0 is built- 
in, not loading module” > /dev/ 
null 
else 
if [ -r /lib/modules/ 'uname 
-r'/misc/parport pc.o 1; then 
É Generic setup example: 
/sbin/modprobe 
parport pc 
* Hardware specific 
setup example (required for PLIP 
and better 


* performance in gene- 
ral): 
t/sbin/modprobe 
parport pc io=0x378 irq=7 
fi 
fi 


Comente ou apague todas elas 
(elas são responsáveis pelo carregamento 
do módulo da porta paralela, é só perda de 
memória). Também remova as seguintes linhas: 


if cat /proc/ksyms | grep 
“NilpM” 1> /dev/null 2> /dev/null 
; then 
echo “lp support built-in, 
not loading module” > /dev/null 
else 
if [ -r /lib/modules/ 
“uname -r'/misc/lp.o 1]; then 
/sbin/modprobe 1p 
fi 
fi 


Ainda no rc.modules, você deve 
habilitar o suporte para a sua placa de 
rede. Eu descomentei a linha: 


/sbin/modprobe ne io=0x300 irg=7 


Certifique-se de que o ppp também 
está sendo carregado, e descomente as 
linhas apropriadas sobre os módulos do ip 
masquerading: 


/sbin/modprobe ip masq irc 
/sbin/modprobe ip masq ftp 
/sbin/modprobe ip masq user 


Esses são os que eu uso, e, 
dependendo do que você utiliza na 
Internet, deve descomentar alguns dos 
outros módulos. Agora é só rodar o ppp- 


setup e configurar o seu modem. À 
Por último, edite O /etc/re.dírc.local 4! 
e insira as seguintes linhas: i 


/sbin/ipchains -A forward 
MASQ 
ifconfig eth0 down 


PPpPp-on 
ifconfig eth0 up 


Atenção! Isso apenas habilita o 
roteamento e o masquerading! Se você 
quiser um firewall decente, leia oswários 
HOWTOs escritos sobre esse assunto! 

Devolva o HD para o 386 ligue-o. 
Automaticamente, ele vai entrar no Linux e º 
conectar na Internet -:) Se você instalou o - 
root como read-only, pode desligar 
normalmente no power. Caso contrário, 
aperte CTRL+ALT+DEL para desligar. 


ANTI-VÍRUS 


Nos últimos anos, as empresas de antivírus precisaram se esforçar 
ao máximo para criar novas tecnologias de detecção de pragas 
virtuais. Os antivírus dos anos 80/90 utilizavam técnicas muito 
diferentes dos atuais. Um exemplo é o modo de pesquisa dos 
arquivos. Antes, o espaço em disco era limitado a 32 MB, e isso 
forçava o usuário a possuir poucos dados. Com isso, os antivírus não 
tinham tanta preocupação em otimizar suas pesquisas, pois 
rapidamente faziam uma busca completa no HD. Outra peculiari- 
dade era que a contaminação de arquivos estava limitada a poucos 
tipos de extensão, tais como .com e .exe, e outros poucos métodos 
de infecção, como o boot e o MBR. 


A evolução foi inevitável. Os discos passaram a suportar dezenas de 


gigabytes e diversos outros formatos de arquivos puderam ser 
vítimas de infecções, como, por exemplo, .doc, .xIs, .vbs, etc. Isso 
fez com que os antivírus mudassem radicalmente os métodos de 
pesquisa, já que precisariam melhorar a performance e dar suporte 
à identificação e remoção de vírus em diversos formatos. Um 
exemplo simples de otimização foi a necessidade de separar os 


Técnicas para d 


tipos de vírus e os tipos de infecções, pois não existe necessidade, 
por exemplo, de um vírus que infecta arquivos .exe ser procurado 
em arquivos do Word ou Excel, e vice-versa. 


Atualmente, a maioria dos vírus ainda é detectada por assinaturas 
binárias (pequenos blocos de dados utilizados para identificar um 
determinado vírus). Com a maior abrangência dos vírus, entretanto, 
foi necessário o desenvolvimento de novas técnicas para identifica- 
ção, nos casos em que uma pesquisa por assinaturas não era possível. 
A pesquisa por assinatura é variável conforme o antivírus, mas, em 
geral, são usados de 2 a 255 bytes para identificar um determinado 
vírus. Como exemplo de detecção de vírus por assinatura, vamos usar 
um arquivo de teste chamado EICAR, que é um arquivo padrão da 
indústria para a verificação do funcionamento das pesquisas de um 
antivírus, e seu conteúdo não possui nada que possa danificar dados. 
O EICAR possui apenas 68 bytes e seu conteúdo total é: 


X50! PSOAP [4)PZX54 (P”)7CC)7)SEICAR-STANDARD-ANTIVIRUS- 
TEST-FILE!SH+H* 


E o mesmo conteúdo em formato hexadecimal: 


58 35 4F 21 50 25 40 41 50 5B 34 5C 50 5A 58 35 34 
28 50 5E 29 37 43 43 29 37 JD 24 45 49 43 41 52 2D 
53 54 41 4E 44 41 52 44 2D 41 4E 54 59 56 49 52 55 
53 2D 54 45 53 54 2D 46 49 4C 45 21 24 48 2B 48 2A 


Existem antivírus que pesquisam por todos os 68 bytes para 
identificar corretamente o EICAR. Isso significa que se algum 
caracter for modificado, o EICAR não será identificado. Esta 
situação ocorre também com o vírus, de modo que muitas 
variantes são criadas, modificando-se apenas alguns bytes. Para 
saber se seu antivírus usa a assinatura completa ou não, altere o 
conteúdo do EICAR e faça uma pesquisa com o antivírus. Um 
exemplo de EICAR modificado: 


X50! PSOAP [4 PZX54 (P*) 7CC)7)SEICAR-STANDARD-ANTIVIRUS- 
ALTERADO | $H+H* 

Alguns antivírus usam métodos de pesquisa que podem evitar este 
tipo de problema e conseguem identificar um arquivo usando 
caracteres curingas (? e *) em suas assinaturas: 


X50! PSOAP [4)PZX54 (P*)7CC)7)S [*] 1SH+H* 


Isso significa poder modificar um bloco por qualquer conjunto de 
caracteres. Com uma assinatura assim, diversos tipos de identifica- 
ção seriam possíveis: 


X50! PSOAP [4) PZXx54 (P*)7CC)7JSEICAR-STANDARD-ANTIVIRUS- 
TEST-FILE! $H+H* ; 


X50! P$OAP [41 PZX54 (P*)7CC)7)SEICAR-STANDARD-ANTIVIRUS- 
ALTERADO !SH+H* 


X50! P$QAP [4 PZX54 (P?)7CC)7)SALTERADO! S$H+H* 


X50! P$OAP [41 PZx54 (P*)7CC)7)SQUALQUER QUANTIDADE DE 
BYTES! $H+H+* 


Uma assinatura deve ser bem escolhida para que sejam evitados 
falsos-positivos. Os falsos-positivos nada mais são que arquivos 
“sadios”, mas que são erroneamente identificados como vírus por 
um programa antivírus. Usuários comuns não possuem conhecimen- 
to necessário para verificar se um arquivo realmente contém vírus 


ANTI-VÍRUS 


ou não. Se um antivírus emite um alerta de infecção em algum 
arquivo que esteja “sadio”, isso poderá causar sérios problemas, 
pois o sistema corre o risco de ficar inoperável se um arquivo 
importante for removido. 

Uma outra maneira de melhorar a performance em pesquisas seria 
identificar pequenas partes de um arquivo antes de verificar toda a 
assinatura. Por exemplo, se um arquivo não começa com “X50!”, 
significa que não é um EICAR e portanto não existe a necessidade 
de verificar o seu restante por esta assinatura. Deve-se lembrar 
que, para gerar uma assinatura, é necessário possuir um exemplar 
do vírus, de modo que ele possa ter seu comportamento estudado 
através de experimentos de infecção controlada. 


etecção de vírus desconhecidos 


Pode-se dizer que, atualmente, o que mais preocupa as empresas 
de antivírus é a identificação de vírus “desconhecidos”, ou seja, 
novas pragas que ainda não são detectadas e/ou que não possuem 
uma assinatura estudada para isso. Diversos métodos surgiram para 


“iii E sa 


Um arquivo .exe possui um pequeno cabeçalho, um Entry Point - o 
ponto onde começa a execução de um programa e o programa 
propriamente dito. Após uma infecção, o Entry Point é alterado, de 
forma que passe a apontar para o código do vírus. Após a execução 
do vírus, este pula para o Entry Point original do programa, 
fazendo-o funcionar normalmente. Como a maioria dos vírus que 
infectam .exe trabalha desta forma, a pesquisa heurística poderia 
ajudar. Bastaria verificar se o Entry Point está fora da seção do 
código do programa ou se o Entry Point é um JMP. Mas, em alguns 
casos, falsos-positivos são emitidos, pois existem programas 
comerciais, protetores e compactadores de executáveis que 
trabalham da mesma forma. Então, a heurística pode ser definida 
como um complemento da pesquisa, que ajuda na detecção de 
vírus desconhecidos, mas que não tem certeza se um arquivo está 
contaminado ou não. Ou seja, heurística não é uma ciência exata. 


A heurística consegue identificar de 70% a 90% dos vírus conheci- 
dos e desconhecidos. Podemos dizer que é uma técnica excelente, 
considerando a complexidade do problema. 


E 


tentar conter a constante evolução dos vírus, e conceitos como 
emulação e heurística passaram a ser obrigatórios nos antivírus. 


>>> Heurist 
“Heurística” vem da palavra grega “heuriskein”, e significa 
“descobrir”. A heurística é uma técnica utilizada para estudar o 
comportamento, a estrutura e as características de um arquivo 
para defini-lo como suspeito ou não. Ela pode fazer com que o 
antivírus emita muitos falsos-positivos, mas é uma técnica que se 
mostrou bastante útil para evitar vírus desconhecidos. Em geral, 
um vírus que infecta arquivos .exe age da seguinte forma: 


arquivo sadio: Arquivo contaminado: 


+==————— = —— + ===... + 

| cabeçalho | | cabeçalho | 

+==————— +-———+ +==————— +-———+ 
| Entry | | >—+ | Entry | | >— 
| Point | | | | Point | | | 
fo-anmm + Es pa eim E [are] 
| Corpo do | <+ +-->» | Corpo do | | 
| programa | | | programa | | 
4===——"= === — =—+ | f-==————— ==. + | 
Luxe 

e e e a o a a a e 


>>> Emulação 


A emulação foi desenvolvida para tentar identificar os complicados 


vírus polimórficos, conhecidos como vírus mutantes, pois conse- 
guem modificar a si próprios a cada infecção, dificultando sua 
identificação. Pesquisas por assinaturas em vírus polimórficos são 
praticamente inviáveis. 


Basicamente, um emulador tenta identificar a rotina de decriptografia 
do vírus. Quando um vírus polimórfico é executado, primeiramente ele 
decriptografa seu próprio código executável, usando uma rotina 
anexada ao próprio vírus. Em alguns casos, uma pesquisa por 
assinatura poderá ser válida no código da rotina de decriptografia, 
mas isso não é uma regra. Em muitos casos, os vírus polimórficos 
ofuscam seu código, usando diversos artifícios para conseguir 
funcionar, mesmo com um conteúdo diferente em suas novas cópias. 


Um exemplo simples: zerar um registrador de diferentes formas, 
com resultados idênticos. 


Instrução 
Hexadecimal 

XOR AX, AX 31 CO 
SUB AX, AX 29 CO 
MOV AX, O B8 00 00 


Se o código não for muito modificado, poderemos utilizar a 
heurística para identificar o vírus. Um bom exemplo do uso de 
emuladores serve para o vírus chamado “Simili”, que foi 
descrito na revista “Virus Bulletin”, em maio de 2002. Este 
vírus contém um decriptografador polimórfico que modifica o 
tamanho e a localização das infecções. Ele “disassembla” seu 
próprio código para uma forma intermediária, injeta novas 
instruções e sujeira ao código e “re-assembla”, gerando uma 
nova cópia polimórfica. As novas cópias podem variar de 30 a 
120 Kbytes. 

Esse tipo de vírus é localizado apenas com emuladores, e 
muitas técnicas são exigidas para identificá-lo. O emulador 
permite analisar o código 

disassemblado, adicionar código, criptografar/decriptografar e 


produto antivírus, pois novos vírus são lançados diariamente, muito 
mais complexos e usando novas técnicas antidetecção. A melhor 
maneira de evitar vírus é usar o computador com bom senso: 


> Evitar abrir e-mails com attachments: 


> Não deixar que o boot seja feito por disquetes; 


> Evitar softwares piratas; 


> Desconfiar de arquivos com duplas extensões, 


como: .txt, .exe ou .jpg. e .vbs; 


> Manter atualizações de softwares e segurança em dia; 


> Quanto mais pessoas tiverem acesso a um mesmo 
computador, mais chance: de ser infectado. Evite 


troca de dados com computadores “públicos”. 


analisar a probabilidade de uma infecção. Outra maneira de 
fazer a emulação é interceptar funções da API do sistema 
operacional ou capturar interrupções do DOS que estejam 
ligadas diretamente à gravação, leitura ou execução. Se um 
determinado programa executar uma série de ações suspei- 
tas, o antivírus emitirá aviso de um arquivo suspeito. 


>>> Conclusão 


Como se pode notar, não existe umimétodo único de detecção 
para todos os casos. Os antivírus netessitam estar sempre atuali- 
zando seus métodos de pesquisa, de modo que possam identificar 
os novos vírus. Atualmente, por causa da Internet, as pragas se 
alastram rapidamente. Muitos aproveitam falhas de softwares e 
vulnerabilidades do sistema para conseguir se alastrar. Esse tipo de 
ação forçará as empresas de antivírus a criar novos mecanismos 
para barrar esta forma de ataque. A escolha de um bom antivírus é 
essencial. Entretanto, não devemos confiar plenamente em um 
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Últimas vulnerabilidades e 
falhas de segurança 


Nesta edição, o Tech Bugs apresenta somente duas 
vulnerabilidades, mas são duas ocorrências de segurança muito 
importantes e que ainda vão dar muita dor de cabeça. Apesar de a 
Microsoft já ter liberado um patch de segurança para o bug do 
serviço mensageiro do Windows, sabemos que muitos administrado- 
res de sistemas não procuram se informar sobre o que está 
ocorrendo emseu servidor nem em consultar novas falhas. Estar 
sempre informado sobre essas ocorrências de segurança 
significa 50% de chance a menos de o seu servidor não ser 
invadido. A porcentagem restante é anulada se você patchear 
o sistema corretamente. 

As duas falhas apresentam dois exploits que estão disponíveis para 
estudo. A revista H4CK3R não se responsabiliza pela má utilização 


dessas ferramentas. 


f| OW 


O miRC é um dos clientes IRC mais utilizados em sistemas rodando 
Windows. Também é muito conhecido pela sua facilidade e 
diversos usuários o utilizam para se comunicar nos mais variados 
servidores IRC. 

O bug no software consiste em um buffer overflow remoto em 
que o cliente tenta uma conexão com o servidor. Durante o 


processo de conexão, o cliente é relatado a uma emissão ou a um 


pedido de USERHOST do qual se espera ter menos de 110 bytes. 


Assim, qualquer outro pedido de emissão maior que este valor 


sará o buffer 


A exploração bem-sucedida desta bug pode permitir que o 


por Bruno Cesar 


gerati.com.br 


usuário mal-intencionado tenha total disponibilidade de inserir um 
código arbitrário no contexto do cliente a fim de ganhar acesso 
desautorizado a um sistema vulnerável. 

As versões descritas abaixo estão vulneráveis, porém nada indica 
que outras não estejam. 


Khaled Mardam-Bey mIRC 6.03 
Khaled Mardam-Bey mIRC 6.0 2 
Khaled Mardam-Bey mIRC 6.0 1 
Khaled Mardam-Bey miRC 6.1 


O código-fonte do exploit para estudo pode ser visto e adquirido 


nos seguintes endereços: 


http:/Avhiteroof.netfirms.com/userhost.zip 
http:/Avww .securitylab.ru/ exploits/userhost.zip 


>>> Solução: 


Até o momento, seu desenvolvedor não disponibilizou um-patch ou 
correção para a vulnerabilidade. O que basta é aguardar uma nova 
versão do software com o bug corrigido, ou até esperar por um 
patch de segurança. 


O serviço mensageiro do Windows está exposto a uma vulnerabilidade 


causada por um buffer overrun. Isso ocorre por causa da verificação 
insuficiente dos limites de mensagens antes que sejam passadas a um buffer 
interno. A exploração bem-sucedida pode resultar em uma negação de 
serviço ou na execução de um código malicioso no contexto local do 
sistema, permitindo um acesso total e sem restrições ao sistema atacado. 
A eEye Digital Security disponibilizou um scanner totalmente grátis 

para verificar se a máquina está vulnerável. Para adquiri-lo, acesse o 
seguinte endereço: 

http:/Awww ..eeye.com/html/Research/Tools/MSGSVC. html 
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Um exploit disponível para estudo, com um exemplo de negação de 
serviço, pode ser adquirido nos seguintes endereços: 


http:/Amw .securityfocus.comvdataAvulnerabilties/exploits/MIS03-043. poc.c 
http://downloads.securityfocus.comAvulnerabilities/exploits/ms03-043,c 


Para alguns, a melhor solução seria desativar o serviço de 
mensagens, mas isso teria seus contras, pois ele ficaria 
indisponível para utilização. 

Outra opção é bloquear a porta 135 no Windows XP e no 
Windows 2003 server, utilizando o Internet Connection 
Firewall (IC F). 

A melhor solução é utilizar os patches de segurança que já 
foram liberados pela Microsoft. Veja as versões para seus 


respectivos sistemas: 
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Microsoft Windows 2000 Advanced Server SP4: 


Microsoft Patch Security Update for Microsoft Windows 2000: 


KB828035 ; 

http:/Anww .microsoft.com/downloads/ 
details.aspx? Familyld=99F1B40D-906A-4945-A021- 
4B494CCCBDEO&displaylang=en 


Microsoft Windows 2000, Service Pack 3, Service Pack 4 


Microsoft Windows 2000 Professional SP4: 


Microsoft Patch Security Update for Microsoft Windows 2000: 


KB828035 

http:/Avww microsoft.com/downloads/ 
details.aspx? Familyld=99F1B40D-906A-4945-A021- 
4B494CCCBDEO&displaylang=en 


Microsoft Windows 2000, Service Pack 3, Service Pack 4 


Microsoft Windows 2000 Server SPA4: 


Microsoft Patch Security Update for Microsoft Windows 2000: 


KB828035 
http:/Anww microsoft.com/downloads/ 
a px? Familyld= 


Microséft Windows 2000, Service Pack 3, Service Pack 4 


Microsoft Windows 2000 Professional SP3: 


Microsoft Patch Security Update for Microsoft Windows 2000: 


KB828035 

http:/Anww microsoft.com/downloads/ 
details.aspx? Familyld=99F1B40D-906A-4945-A02 1- 
4B494CCCBDEO&displaylang=en 


Microsoft Windows 2000, Service Pack 3, Service Pack 4 


Microsoft Windows 2000 Server SP3: 


Microsoft Patch Security Update for Microsoft Windows 2000: 


KB828035 

http://www microsoft.com/downloads/ 
details.aspx? Familyld=99F1B40D-906A-4945-A021- 
4B494CCCBDEO&displaylang=en 


Microsoft Windows 2000, Service Pack 3, Service Pack 4 


Microsoft Windows 2000 Advanced Server SP3: 


Microsoft Patch Security Update for Microsoft Windows 
2000: KB828035 

http:/Avwaw microsoft.com/downloads/ 

details.aspx? Familyld=99F1B40D-906A-4945-A021- 
4B494CCCBDEO&displaylang=en 


Microsoft Windows 2000, Service Pack 3, Service Pack 4. 
Microsoft Windows 2000 Advanced Server SP2: 
Microsoft Patch Security Update for Microsoft Windows 2000 
Service Pack 2: KB828035 

http://www microsoft.com/downloads/ 
details.aspx?Familyld=A0061377-1683-4C13-9527- 
5534F6C7CE85&displaylang=en 


Microsoft Windows 2000, Service Pack 2 


Microsoft Windows 2000 Professional SP2: 


Microsoft Patch Security Update for Microsoft Windows 

Service Pack 2: KB828035 a 
http:/Anmaw microsoft.com/downloads/ 
details.aspx?Familyld=A0061377-1683- 
5534F6C7CF858displaylang=en 


Microsoft Windows 2000, Service Pack 2 
Microsoft Windows 2000 Server SP2: 


Microsoft Patch Security Update for Microsoft Windows 2000 
Service Pack 2: KB828035 
http:/Avww-microsoft.com/downloads/ 
details.aspx?Familyid=A0061377-1683-4C13-9527- 
5534F6C7CF85&displaylang=en 


Microsoft Windows 2000, Service Pack 2 

Microsoft Windows XP Home SP1: 

Microsoft Patch Security Update for Microsoft Windows XP: 
KB828035 

http:/Anww microsoft.com/downloads/ 
details.aspx?Familyld=FO2D A309-4B0A-4438-A0OB9- 


586/414C3833&displaylang=en 


Microsoft Windows XP Gold, Service Pack 1 


| 
| 


Windows XP Professon 


Microsoft Patch Security Update for Microsoft Windows XP: 
KB828035. 
http:/Amww. microsoft.com/downloads/ 

details aspx?Familyld=F02DA309-4B0A-4438-A0B9- 
5B67414C38338&displaylang=en 


Microsoft Windows XP Gold, Service Pack 1 

Microsoft Windows Server 2003 Standard Edition : 
Microsoft Patch Security Update for Microsoft Windows 
Server 2003: KB828035 

http:/Avww microsoft.com/downloads/ 

details.aspx? Familyld=1DF106F3-7EC4-4EB0-9143- 


CIE3CI9E2FSFS&displaylang=en 


| Microsoft Windows Server 2003 


Pa h'Security Update for Microsoft Windows 


oft Windows Server 2003 Web Edition : 


“Microsoft Patch Security Update for Microsoft Windows 
Server 2003: KB828035 
http:/Aywaw microsoft.com/downloads/ 

details.aspx? Familyld=1DF106F3-7EC4-4EB0-9143- 
CIESCI9EZFSF8&displaylang=en 


Microsoft Windows Server 2003 

Microsoft Windows Server 2003 Enterprise Edition 64-bit : 
Microsoft Patch Security Update for Microsoft Windows 
Server 2003 64-bit Edition: KB828035 

http:/An ww microsoft.com/downloads/ 
details.aspx?Familyld=88990946-84C8-4C91-899C- 


5A44EC13174E&displaylang=en 


Microsoft Windows Server 2003 64-bit Edition 


rc soft Windows Server 2003 Enterprise Edition : 


* Microsoft Windows XP 64-bit Edition Version 2003 : 


Microsoft Patch Security Update for Microsoft Windows 
Server 2003 64-bit Edition: KB828035 

http:/Anwa microsoft.com/downloads/ 

details.aspx? Familyld=8B990946-84C 8-4C91-899C- 
5A44EC13174E&displaylang=en 


Microsoft Windows XP 64-bit Edition Version 2003 
Microsoft Windows XP 64-bit Edition : 


Microsoft Patch Security Update for Microsoft Windows XP 
64-bit Edition: KB828035 


* http:/Avnww.microsoft.com/downloads/ 


details.aspx?Familyld=2BE95254-4C65-4CA5-80A5- 
S5SFDFSAA22968&displaylang=en 


Microsoft Windows XP 64-bit Edition 


“Microsoft Windows NT Server 4.0 SP6a: 


Microsoft Patch Security Update for Microsoft Windows NT 
Server 4.0: KB828035 E cs 
http:/Avww microsoft.com/downloads/ 
details aspx?Familyld=8 194945 
79FD79F26A 1 B&displaylang=en 


Microsoft Windows NT Server 4.0, Service Pack 6a 
Microsoft Windows NT Workstation 4.0 SP6a: 


Microsoft Patch Security Update for Microsoft Windows NT 
Workstation 4.0: KB828035 

http:/Avww. microsoft. com/downloads/ 
details.aspx?Familyld=7597FCF4-6615-4074-9E46- 
A17D808ED38D&displaylang=en 


Microsoft Windows NT Workstation 4.0, Service Pack 6a 
Microsoft Windows NT Terminal Server 4.0 SP6: 
Microsoft Patch Security Update for Microsoft Windows NT Server 
Terminal Server Edition: KB828035 
http:/Anmrmicrosoft.com/downloads/details.aspx? Familyld=64AB4B66- 


1A6E-4264-93A8-26CDB98B05AB&displaylang=en 


Microsoft Windows NT Server 4.0, Terminal Server Edition, 
Service Pack 6 


É difícil fazer uma crítica de um filme tão polêmico quanto /rreversível 
Presente na Mostra de Cinema de São Paulo do ano passado, ele está de 
volta em 2003, tamanho o interesse que gerou no público. 


Vemos violência no cinema, na TV, na vida real, enfim, em todo lugar atual- 


mente. Mas a violência explícita, da forma que é mostrada no filme, com a trilha 


“O IANAVIASIBL 


executada, os movimentos de câmeras e a iluminação não-convencional usadas, 


acaba por provocar um sentimento totalmente diferente nos espectadores. 


Não é como se víssemos a morte de mais uma das centenas de vítimas de Arnold 
Schwarzenegger no cinema. Desta vez, somos realmente jogados na parede: ISSO é a violência, ISSO é um assassinato, ISSO é um estupro. 
Agora todos viram, todos sentiram. Alguns não agúentaram, tiveram que sair do cinema. Outros conseguiram continuar, a maioria com 
a nítida certeza de ter visto cair uma máscara do mundo ocidental: a do herói assassino. 
Dá pra entender claramente por que /rreversívelé tão polêmico. Talvez seja o filme mais angustiante e explicitamente violento já feito. 
Mas, por outro lado, é o longa que todos os súditos de George W. Bush, em todo o planeta Terra, precisam ver nos dias de hoje. 


O dUBSSO0 Da INGLasGerra 


Depois de /reversívele Demonlover, nada mais justo do que rese- vida melhor e encontra um ambien- 


nharmos um outro filme que também traz o submundo e o sexo entre 


te hostil e subumano. Mais do que 
os temas tratados: Coisas belas e sujas. recomendado. 


Coisas mostra o avesso da aristocrática Londres e trabalha com o 


que ocorre nos becos da metrópole. Drogas, sexo, trabalho semi-escra- Coisas belas e sujas (Inglater- 


vo e xenofobia (aversão aos estrangeiros) aparecem com cores fortes. a 2002) 


A história começa quando um imigrante ilegal encontra um cora- Direção: Stephen Frears 
ção humano em uma privada, no hotel em que trabalha à noite. O Elenco: Audrey Tautou, Chiwetel 
acontecimento bizarro serve como ponto de partida para contar o Fijofor Sergi Lopez 


dia-a-dia nada fácil de quem vai para a Europa em busca de uma 


GLOBALIZAÇÃO E Nnão-Lucar Por: Joá 


Marc Augé, antropólogo francês, descreveu um dos fenômenos promovida tanto pela Mangatronics 
mais pungentes de nosso tempo: a importância dos não-lugares. quanto pela Demonlover. No meio ER. Tm 
Em sua teoria, não-lugares são espaços não-identitários e do caminho, aparecem personagens | 6 
semelhantes que evocam o anonimato, a fluidez e o livre trânsito amorais e impiedosos, que estão em E 
São opostos aos lugares no sentido antropológico, que são constante trânsito pelo globo. | 
marcados pela tradição, pela cultura particular, pelas relações Além disso, estão todos tão fartos 
sociais, etc. Na prática, diz Augé, nós transitamos entre os dois de “verem tudo” que cenas de 
conceitos, mas os ícones atuais são os não-lugares. estupro, games violentos, etc. já 

Os não-lugares — aeroportos, rodovias, hotéis, etc. - também não causam reação. Qualquer semelhança conosco, ou com a 
são trabalhados em outras áreas do saber, além da filosofia, como obra de Augé, não é mera coincidência. 


no filme francês Demonlover 


Demonlover é uma empresa que, junto a outra chamada Demonlover (França, 2002) 
Mangatronics, quer licenciar os animes pornográficos em 3-D Direção: Olivier Assayas 
produzidos pela TokyoAnime, que irá fundir-se com a Volf. Elenco: Connie Nielsen, Charles Berling, Chloê Sevigny 


A negociação é permeada de espionagem corporativa, 


nos GeMPos Da BriLHanbina 


Brasília, para variar, está com uma cena musical efervescente: A capital do Brasil 
da nunca, e o rock por lá está mais aceso do que em muitas das maiores cidades do 

Agora é a vez do rockabilly. E uma das principais forças locais, nesse estilo, 
está querendo expandir seus horizontes para o sul. São os “Sapatos Bicolores”, 
que recentemente estiveram em São Paulo para apresentações. O grupo foi 
formado em 2001 por André Vasquez, guitarrista nascido no Rio Grande do 
Sul, Completam a banda o baixista PC e o baterista Caio. Lançartam um EP, 
chamado “Prafrentex”, pelo selo Monstro Discos e começaram a ser hota- 


dos na cena underground. 


O rockabilly do grupo se destaca por não ser nem um pouco puro, pois mistura 
muito de country, Beatles e influências de bandas como Grafórreia Xilarmônica (como confirma o próprio 
guitarrista). O show é cheio de energia e muito dançante, sob o comando do front man André. 

Aliás, sua guitarra é um show à parte. Fazendo jus ao legado de Brian Setzer (guitarrista e vocal líder 
dos Stray Cats), o som do seu instrumento nos transporta de volta aos anos 60, e desenha escalas e 


melodias inesperadas e divertidas. 


Mas a banda só está começando, e ainda pode melhorar muito, principalmente se deixar o seu show mais 
enxuto, No começo de 2004, os Sapatos lançarão seu primeiro disco completo, e com certeza estarão pelo 
sul para promovê-lo. Força para eles. E que não se deixem levar pelo caminho fácil do sucesso via MTV e 
afins. Como nos disse André: “o mais importante, bem mais do que ficar famoso, é estar 


ao alcance dos nossos fãs”. 


cio Martins 


SamBa, SUOM e MÚúSiCca EeLELPÔNiCca 


Finalmente, a música eletrônica começa a virar gente grande no 
nosso País. Depois de conquistar as pistas nacionais, ganhando festivais 
próprios e cavando espaço nas rádios e TVs, chegou a hora de estudar 
sua história. Esse é o objetivo do livro Todo D/já Sambou, da jornalista 
Cláudia Assef, que pesquisou, em apenas quatro meses, a trajetória da 
música eletrônica, desenvolvida no Brasil a partir dos anos 50. 

Claro que o critério aqui de música eletrônica é bastante amplo. A 
autora começa contando que, nos anos 50, houve-a transição dos 
bailes com orquestra para as festas com vitrolas elétricas — lembrando 
que a primeira equipe de som c 
apresentava atrás de uma cortina. 
É a descoberta dessa pré-história da música eletrônica que nos 
faz entender o título do livro. A 


amava-se Orquestra Invisível e se 


inal, nesses bailes cinquentões, a 
música que rolava era o samba. Até chegar aos DJs e às subdivisões 
da música eletrônica como encontramos hoje, existiram os famosos 


anos 70, com suas discotecas e coletâneas de hits que ficaram fa- 
mosas. Nessa época, grande parte dos artistas e grupos era arma- 
ção de gravadoras, como Gretchen, Harmony Cats e outros esque- 
cidos pelo tempo. 

No Brasil, o quente eram as discos, como Banana Power e 
Hippopotamus. Até a Globo lançou a novela Dancin'Days na época, 
que causou escândalo com a cena da dança na qual a Sônia Braga 


insinuava levemente que 
ia tirar a calça ou algo as- 


sim — coisa gu 


Hoje em dia, 
echno é sof 
uitos DJs bras 
espeitados in 


PB começa a 
unindo tambo 
Picapes, e os f 


raves se mult 


passar na Sessão da Tar- 
de dos dias atuais. 


nalmente, a tradicional 


e poderia 


o mundo 
sticado 
leiros são 
ernacio- 


se abrir, 
res com 
estivais/ 
plicam 


pelo País. Nada 
portanto, que 


cer como tudo chegou 


a esse ponto. 


Todo D) já Sa 
Cláudia Assef 
Editora Conrad 


R$ 25 


nelhor, 
conhe- 


mbou 


GUIA DO 


Ia 


Confira os principais destaques 
do sombrio CD da H4CK3R 13 


Principais pacotes presentes no Sentry Firewall CD 


Jor com processador x86 Intel ou compatível! com drive de E 


TRY — Usuário: root e: Senha: sentr 


Destaque: Seniry Firewall CD-ROM 1.5.0 


Segurança sem instalação 


TO 


vem com ne fica, o que garante maior 
agilidad redes maiores via HTTP, FTP, SFTR 
ou SERA vai encôntrar nenhum script para 


automatizar tarefas de configuração: tudo deve ser feito “na 


unha”. Mas isso não quer dizer que seja difícil deixá-lo perfeita- 


mente adaptado às suas necessidades. 


et-snmp 
Webmin 
E daemons para Apache, Sendmail, Squid, Perl e BIND 


*Para obter ma 


is informações sobre as 


s do Sentry Firewall, acesse 
(www.sentrytirewall: com), e 
mais sobre o processo de 
guração, leia em Atip.// 


www. sentrytirewall com/filesthowto/ 


a - 


Categoria: Registro 
Faxina gratuita 


O registro do Windows guarda informações sobre cada 
arquivo que você cria, move e remove. Isso deveria ser bom 
para restaurar documentos apagados acidentalmente ou 
desinstalar de vez programas indesejados. Mas o que aconte- 
ce é um acúmulo de lixo e informações inúteis que deixam o 
sistema pior do que já é. Para resolver isso, bastaria usar O 
Linux, mas também é possível gerenciar e editar os arquivos 
de registro. Foi por isso que selecionamos softwares que 
realizam essa importante tarefa - e, o melhor, quase todos 
são freeware. Confira: 


Regmon 6.06 (NT/2000/XP): Monitore O acesso ao registro 
do Windows. Pode detectar erros e até mesmo a atividade de 
vírus, trojans e outros programas de códigos maliciosos. Obs.: 
Apenas para Windows NT/2000 e XP 


RegKey Backup 1.0: Faz o backup e recupera chaves e 
subchaves do Registro do Windows. Mesmo não sendo um editor 
de registro, é uma ferramenta fácil de usar para recuperar chaves 
que foram modificadas por programas ou websites 


MV RegClean 3.1: Este utilitário permite que você cheque e/ou 
remova os itens inválidos encontrados. Todas as remoções realizadas 
poderão ser restauradas por um arquivo de backup undo*.reg 


DiamondCS Registry Prot 2.0: Protetor e monitor do registro 
do Windows. Faz com que você analise a presença de intrusos 
tentando alterar seu computador. Mostra em tempo real quais 
chaves foram incluídas ou modificadas e permite voltar ao original, 
sem mudanças 


Reg Cool 2.408: Ferramenta de edição de Registro com 


interface similar à do Explorer. Na esquerda, existem as chaves de 
registro baseadas em hierarquia de floresta; na janela à direita, é 
possível visualizar os Valores individuais de cada chave. Possui 
sistema de busca booleano para localização de valores e chaves 
específicas. Inclui opção para comparação de registros 


Registrar Lite 2.00: Gerenciador de registro do Windows. Pode 
realizar todas as operações de alteração, verificação e visualização 
do registro do Windows nas máquinas da rede, faz backups, realiza 
procuras, entre outras opções. Possui o comando undo para que 
você não faça estrago nas máquinas. Quando roda em Windows 
2000 e NT, permite acesso às opções de segurança e permissões 


Win/crypto: Este arquivo de texto explicará como decriptar 
senhas no Windows 9x armazenadas no registro em .doc, .ascil e 
formato de palmpilot 

NT REG: Sistema de driver para o Linux que entende o formato 
do registro do Windows NT. Com ele você pode pegar arquivos do 
Windows NT e montá-los no Linux 

Ms Decripter: Decripte passwords do MSN pelo registro 


Rm Toolkit: Dá acesso ao registro das propriedades de vídeo, etc. 


NT Reg Pack: Ajuste o registro do seu Windows NT 4.0 com as 
configurações sugeridas pela Webtrends Security Analyzer. 


Cain: Ferramenta para a recuperação de senhas do Windows 95/ 
98. Recupera senhas de logon, dial-up, entre outras 


Chron: Esta ferramenta determinará o nível do servico de 
update de todas as máquinas de Windows NT sob domínio do NT 


Anna Klean: Aplicação de console para remover o worm Anna 
Kournikova do registro 


47 


( GUIA DO CD N 


Categoria: Trainers 


Ganhar é bom. Roubar é melhor! 


invisibilidade, entre outras 


Command & Conquer: Generals - Zero Hour: Tenha 
dinheiro e poderesiilimitados 


WarCraft 3 (Mission Unlocker): Deixa você escolher 
qualquer missão do jogo, mesmo as não disponíveis 


Halo: Combat Evolved: Munições, health, escudo e flahlight infinitos Test Drive 6: Este trainer permite que você tenha dinheiro 


ilimitado no jogo 
Freedom Fighters: Munições, health e carisma infinitos para 


você sair detonando 


Alone in the Dark 4: Trainer que habilita munições e vidas 


infinitas e itens para salvar o jogo infinitas vezes 
Payne 2: The Fall of Max Payne: Você terá bullet 


time, health e munições infinitos, entre outras opções Championship Manager 4: Obtenha mais dinheiro para poder 


gerenciar melhor o seu time 
Mace Griffin: Bounty Hunter: Obtenha munição infinita e o 


máximo de energia possível Hitman 2: Silent Assassin: Com este trainer, você poderá 


salvar infinitas vezes, além de ter health e munições infinitas, 
d or Alive: Munições entre outras opções. 


tara sua jogatina 


Silent Hill 2: Director's Cut: Tenha força infinita, 99 balas 


Warlords 4: Tenha opções especiais, como ganhar mais ouro e mana para a sua pistola e outras 99 para a sua shotgun 


Commandos 3: Destination Berlin: Você poderá habilitar Tony Hawk's Pro Skater 4: Este trainer irá permitir que você 


multiplique sua pontuação por 100 e remova o tempo do jogo 


personage ealin Infinito, 


sentry Linux 1.5 ; At RR ARS 
EWALL e IDS COMPLETO<< 


Para proteger totalmente sua rede 
1 "Roda direto do CD *Baseado no Slack 9.0 
*Reconhece rede é hardware automaticamente 
*Jé vem cam as consagradas ferramentas 
SNORT, Nmap, Apache, Samba, PHP e muito mais 


: encontra Linux Essential 
Ene Security Kit 
msinvasden, 


Linux à prova de balas 
lo 


As ferramentas de segurança 
Ima tam que não podem faltar em seu 
saui sistema, incluindo Nessus, 
vs BNLeagas AirSnort, Honey Pots, iptable 
ettercap, ssh, ipohains, 
nodos Mona ehkrootkit, tepdump 
e muito mais: 


go 
à reproçguai - Progído CL 


Ferramentas para visualizar, recuperar e editar 
tudo que ficou gravado nos registros do Windows 


= 0 Td a is Ds ,— COLT ———ee 


Categoria: Linux Security Kit 


Mantenha-se invulnerável 


Juntamos as ferramentas de segurança para Linux mais Neseus v2.0.8º: Verif 


conceituadas em uma só categoria. Dá para 


como um kit de primeiro socorros p 
proteção de redes, criptografia e 
essenciais do mundo hacker. Confira al 
principais a seguir: 


Nmap v3.48: Escaneia redes extensas Rs; mas 
trabalha melhor com hosts únicos. O Nmap utiliza os pacot 


v 


IP em caminhos originais para determinar qua 


disponíveis na rede, quais serviços es 
sistema operacional estão executando, qual tir 
filtro/firewall estão usando, além de outras opçõe 


IPTables v1.2.8: Firewal 
meio da comparação de regr 
ou não permissão para p: 


modificar e monitorar ot 
(masquerading, source-nat e Mm nat), redirecionar e 
marcar pacotes, modificar a prioridade de pacotes q! 


chegam/saem do seu sistema, contar bytes, etc. 


Ettercap v0.6.b: Sniffer, in 
para as LANs. Suporta oper 
(mesmo que sejam códigos c 


você está com a LAN troc 


manter a conexão estabe 


Categoria: Patches 


Atualizar é questão de sobrevivência 


Confira a lista com todos os patches e correções de segurança 
que selecionamos para o CD desta edição 


Debian: Freesweep packages fix buffer overflow 

Debian: hztty packages fix buffer overflows 

Debian: ipmasq packages fix insecure packet filtering rules 
Debian: libmailtools-perl packages fix input validation bug 
Debian: New marbles packages fix buffer overflow 
Debian: New webfs packages fix buffer overflows 

Debian: OpenSSH buffer management fix 

Debian: OpenSSL packages correct DoS 

Debian: Openssl095 packages fix Dos 

Debian: sendmail packages fix buffer overflows 

Debian: Tomcat4 packages fix Dos 

Red Hat: Apache e mod ssl packages fix security vulnerabilities 
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Fone: (11)3217-2626 (9has 21h) — suporte Gidigerati com 
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Fone: (11) 3217-2600 = vendas (Dj 
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E Noja Digo ; 


busca rápi a a uso 
deva “02 4 


Nunca um livro foi tão longe. Trata-se do mais 
forcutento «farra sã . Finalmente 


Você recebe sua revista sem nenhum custo 
adicional em qualquer lugar do Brasil 


Mais de é 
60 categorias |. 
com mais de E 


200 produtos | 


BEE 


Conheça a linha completa 
no site digerati.com 


”.. * , a 
Seu estúdio mais barato 
do que você imagina! 


| 


ando 
EufEdite Vidor 
arquivos, Pá, imo 
is apresentações des 
dé rriatino CD) 
sao 


ng 18 | Ericsson 
SF samsung Es com MID 


iva 
As alternativas ao 
montar-seu estúdio sem 


jemens 
Ee a 5 Motorola SS] Aparelh 
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digerati.com ou pelo g SoundForg€, = Ca nte co m [6] u m 
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Ea 1 MM E gravaçã icrofone: 
: Animatorny Simpi teca atração de músicas dos melhores m 
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per 
k 


Alternativas 


Cansado do'KaZaA3) 
q UC Então teste estas/alternativas 
Jorarsvulnerabilidades em: perfeitas para| hackers 


BWApollonj0!8/(Linux)) + BitSpirit/1.0.7Beta) à 
PARWindows]MediajPlayer BEM icrosofuword] DBitlorrenti++[(Linux) e nal oo Effusion 0.3 
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Trainers 


Seja um fera nos games, | 
destruindo seus inimigos sem ” 
fazer força. Programas para OS jogos: dominaridekverdade) 
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O conteúdo do CD brinde é composto por programas freeware, shareware e versões de demonstração 


Configuração mínima do equipamento: Processador Pentium Il ou superior com 64 MB de RAM; 
7 Placa de vídeo com 16 MB, resolução de 800x600 pixels e 16 milhões de cores; Placa de som. 


